以中东地区军事数据为目标：移动网络间谍活动“Bouncing Golf”分析

概述

近期，我们发现了针对中东地区国家的网络间谍活动。我们根据名为“golf”的软件包中的代码，将该恶意活动命名为“Bouncing Golf”。Trend Micro检测到其中包含的恶意软件名称为“AndroidOS_GolfSpy.HRX”，该恶意软件由于其广泛的网络间谍功能而闻名。恶意运营者使用合法的应用程序，将恶意代码嵌入到其中，再进行重新封装。我们对Bouncing Golf使用的命令和控制（C&C）服务器进行监控，到目前为止，我们已经观察到超过660台Android设备感染了GolfSpy。攻击者所窃取的大部分信息似乎都与军事有关。

该恶意活动的攻击媒介也非常有趣。这些重新封装的恶意软件应用程序不会被投放到Google Play，也不会投放在流行的第三方应用程序市场，我们在对GolfSpy的传播过程进行分析时，发现该恶意应用只出现在托管恶意应用程序的网站上，并通过社交媒体来传播。此外，我们还分析了一些来自于Trend Micro移动应用程序信誉服务的GolfSpy样本。

另外值得注意的是，Bouncing Golf可能与先前报道的移动网络间谍活动相关，研究人员将其称为Domestic Kitten。举例来说，二者代码串的接口类似，针对盗窃的数据也具有类似的格式。

GolfSpy的感染链：PHP大马

GolfSpy的潜在影响

考虑到GolfSpy具有信息窃取的功能，这类恶意软件可以有效地劫持受感染的Android设备。下面是GolfSpy窃取的信息列表：

1、设备帐户；

2、设备中安装的应用程序列表；

3、设备当前正在运行的进程；

4、电池状态；

5、设备默认浏览器的书签/历史记录；

6、呼叫日志和记录；

7、剪贴板内容；

8、联系人（包括VCard格式的联系人）；

9、移动运营商信息；

10、存储在SD卡上的文件；

11、设备位置；

12、存储在设备上的图像、音频、视频文件列表；

13、存储卡和内存信息；

14、网络连接信息；

15、传感器信息；

16、短信息；

17、图片。

此外，GolfSpy还具有一个功能，可以连接到远程服务器以获取命令并执行，其中的命令包括搜索、列出文件、删除文件、重命名文件、将文件下载到设备中、从设备中检索文件、截图、安装其他应用程序包（APK）、录制音频和视频、更新恶意软件。

技术分析

重新封装后的应用程序中嵌入了恶意代码，可以在com.golf包中找到。这些重新封装的应用程序覆盖了中东地区常用的通信、新闻、生活方式、阅读和参考类的应用程序。在应用程序中嵌入的GolfSpy恶意软件使用攻击者定义的内部名称进行硬编码。

Bouncing Golf的恶意运营者重新封装的应用程序图标（上方）与原始合法应用程序的图标（左下角）和GolfSpy恶意软件（右下角）的软件包对比：

使用自定义算法编码的GolfSpy配置（右侧）及其解码后版本（左侧）：

如上图所示，GolfSpyd的配置（例如：C&C服务器、Secret Keys）由定制的算法进行编码。在恶意软件启动后，GolfSpy将为受影响的设备生成一个唯一的ID，然后以特定的格式收集受害者数据。例如，短信息、联系人列表、位置和帐户，其收集的格式为“%,[],time”（如下图所示）。这些收集到的信息将会被写入到设备上的文件之中。攻击者可以选择要收集的数据类型，这些数据类型是以特定的格式编写。

显示生成UUID的GolfSpy的代码片段：奇热影视

%的取值范围是1-9或a-j，每个值表示从设备窃取的不同类型数据，其对应关系如下：

1：帐户

2：已安装的APP列表

3：运行进程列表

4：电池状态

5：浏览器书签和历史记录

6：通话记录

7：剪贴板

8：通讯录

9：移动运营商信息

a：SD卡上的文件列表

b：位置

c：图像列表

d：音频列表

e：视频列表

f：存储和内存信息

g：连接信息

h：传感器信息

i：短信息

j：VCard格式的通讯录

下面展示了监控和记录设备进行呼叫时所涉及的代码片段。当用户唤醒设备时，恶意软件还会使用设备的前置摄像头进行拍照。

除了收集上述数据之外，间谍软件还会监控用户的电话，并对其进行记录，将录制的文件保存在设备上。GolfSpy使用预先配置的密钥进行简单的XOR操作，以此来加密所有窃取的数据，然后使用HTTP POST方法将其发送到C&C服务器。

左上方的代码片段展示了GolfSpy如何通过注册接收器（Receiver）来监控电话呼叫，由上展示了在设备唤醒时进行的操作，下方展示了如何加密被盗的数据。

恶意软件借助HTTP协议从C&C服务器上检索命令，攻击者可以窃取受感染设备上的特定文件。该命令是一个特殊构造的字符串，使用“<DEL>”作为分隔符，共分为三个部分。第一部分是目标目录，第二部分是用于匹配特定文件的正则表达式，而最后一部分则是ID。

从受感染设备的应用程序窃取特定文件的命令示例（上方）以及GolfSpy的解析和执行命令（下方）：

除了HTTP POST方法外，GolfSpy还创建与远程C&C服务器的Socket连接，以便接收和执行其他命令。被窃取的数据也将被加密，并通过Socket连接发送到C&C服务器。在这里使用的加密密钥与通过HTTP发送被窃取数据的密钥不同。

攻击者可以通过Socket连接执行的附加命令，以及用于加密被窃取数据的密钥：

与Bouncing Golf相关的恶意活动

我们监控了与Bouncing Golf相关的C&C活动，发现该恶意活动在撰写本文时已经影响了超过660台设备。鉴于此恶意活动的性质，我们可以理解该活动仅发起了小范围或有限数量的攻击，但我们预测该恶意活动将会扩大影响范围，甚至有可能会出现多样化的态势。目前，大多数受影响的设备都位于中东，且我们发现的许多被窃取的数据都与军事有关，例如军事相关的图像和文件。

Bouncing Golf的恶意运营者也在试图掩盖他们的痕迹。例如，恶意活动中使用的C&C域名的注册者详细联系信息已经被屏蔽。恶意活动中使用的C&C服务器的IP地址似乎也完全没有相互关联性，它们位于许多欧洲国家，例如俄罗斯、法国、荷兰和德国。

尽管目前并没有明确的相关性证据，但我们发现Bouncing Golf似乎与Domestic Kitten有关，因为我们在二者的代码之中发现了相似之处。例如，二者所部署的Android恶意软件都具有相同的代码字符串，用于其解码算法之中。Domestic Kitten窃取的数据遵循与Bouncing Golf类似的格式，每种类型的数据都具有独特的识别字符。同样值得注意的是，这两个恶意活动都会重新封装目标国家用户经常使用的应用程序，例如Telegram、Kik和Plus消息应用。

根据代码片段，我们发现Bouncing Golf和Domestic Kitten使用相同的解码算法（上方），Domestic Kitten恶意软件窃取信息的数据格式与Bouncing Golf相同（中部），并且Bouncing Golf和Domestic Kitten都在命令字符串中使用“<DEL>”作为分隔符（分别位于左下方和右下方）。

正如我们在去年的移动威胁形势中所看到的那样，我们预计今年会有更多针对移动平台的网络间谍活动，因为它无处不在，并且采用已经成熟的技术来吸引安全意识较低的用户。这类威胁可以窃取的信息类型范围也很广，因为它可以让攻击者远程接管受感染的设备。作为用户，应该采用最佳实践方案；作为组织，应该确保其开发的应用程序充分权衡移动便捷性与安全性。

最终用户和企业也可以选用多层移动安全解决方案，例如“移动安全Android”（可在Google Play下载）。同时，Trend Micro的移动安全企业版可以提供设备、合规性、应用程序管理、数据保护、配置保护，并可以保护设备免受漏洞利用的攻击，防止未经授权访问应用程序，检测并阻止恶意软件和欺诈性网站。Trend Micro的移动应用程序信誉服务（MARS）使用领先的沙盒和机器学习技术，防御Android和iOS威胁，保护设备免受恶意软件、0-Day漏洞攻击、已知漏洞攻击、隐私泄露和应用程序漏洞的威胁。

IoC

与Bouncing Golf相关的C&C IP地址和域名：

185[.]183[.]99[.]116

190[.]2[.]130[.]53

194[.]187[.]249[.]134

212[.]8[.]248[.]179

54[.]38[.]51[.]159

82[.]211[.]31[.]181

84[.]234[.]96[.]167

androidsmedia[.]com

androidssystem[.]com

mediadownload[.]space

mediamobilereg[.]com

secandroid[.]com

sharpion[.]org

shileyfetwell[.]com

恶意应用程序名称、版本、内部名称及SHA-256列表：

https://documents.trendmicro.com/assets/appendix-mobile-cyberespionage-campaign-bouncing-golf-affects-middle-east.pdf

以中东地区军事数据为目标：移动网络间谍活动“Bouncing Golf”分析相关推荐

新型 JhoneRAT 恶意软件攻击中东地区
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队作者:Lindsey O'Donnell 研究人员表示,JhoneRAT 具有多种反检测技术,包括使用 Google Drive.Goo ...
电视台成阿里云下一个大数据重塑目标
本文讲的是电视台成阿里云下一个大数据重塑目标,[IT168专稿]继空调之后,电视台成为阿里云计算的下一个大数据重塑目标.3月20日下午,阿里云宣布联手新奥特.华通云数据,打造中国最大的全媒体云计算平台 ...
基于某地区高校数据探究大学生健康状态
基于某地区高校数据探究大学生健康状态 1 大学生健康状态的主要影响因素研究 1.1 对于计量用到的数据进行说明,并说明主要原因我们最主要估计的模型如下: 其中A23是我们最关心的因变量是在校大学生健 ...
Java的HttpClient类以POST方式提交数据，目标端收到后中文乱码
h ttpClient HttpMethod NameValuePair setRequestBody 今天开发时,遇到利用Java中HttpClient类以POST方式提交数据,目标收到后中文 ...
Python实现对主要城市及其周边地区天气数据的爬取
python爬虫学习爬虫(爬取指定网站数据) Python实现对主要城市及其周边地区天气数据的爬取,关键步骤已经做了注释此版本仅是初学者的学习版,不喜勿喷 #coding: utf-8 import ...
linux 复制 u盘只读,Linux_ubuntu系统下向U盘拷贝数据提示目标是只读的，在ubuntu11.04下使用U盘的时候， - phpStudy...
ubuntu系统下向U盘拷贝数据提示目标是只读的在ubuntu11.04下使用U盘的时候,发现U盘变成只读的了,向U盘拷贝数据,提示"目标是只读的",如下: 在网上搜素了一下,发 ...
【数据分享】2022年11月西南地区POI数据分享（重庆、四川、贵州、云南、西藏）
一.数据概况今天分享一份西南地区的POI数据,包含重庆市.四川省.贵州省.云南省.西藏自治区5个省级行政区. 数据时间为2022年11月,坐标系是GCJ-02. 较2022年3月的POI数据,5个区 ...
OLEDB数据源和目标组件
在SSIS工程的开发过程中,OLEDB 数据源和目标组件是最常用的数据流组件.从功能上讲,OLEDB 数据源组件用于从OLEDB 提供者(Provider)中获取数据,传递给下游组件,OLEDB提供者 ...
echarts企业地区大数据图表模板代码
echarts企业地区大数据图表模板代码 Html5 echarts.js制作通用的企业发展营销统计大数据管理图表页面模板代码. 作品介绍 1.网页作品简介方面 : html5 echarts.js制 ...
Highmaps上海地区地图数据JSON格式
Highmaps上海地区地图数据JSON格式下载链接: http://pan.baidu.com/s/1c0sDblI 密码: anie 上海区域 Highmaps

以中东地区军事数据为目标：移动网络间谍活动“Bouncing Golf”分析

以中东地区军事数据为目标：移动网络间谍活动“Bouncing Golf”分析相关推荐

最新文章

热门文章