攻击者制作基于DogRat的恶意软件针对巴基斯坦用户

1. 背景概述

移动威胁情报团队在日常狩猎活动中发现伪装成MoviesWatch的恶意样本攻击活动，该样本基于DogRat开源间谍木马V3版本开发而来，并在DogRat木马的基础上削减了恶意功能模块且攻击者能够直接下达远控指令，以降低受害者的警惕性。

一旦安装，样本会窃取受害设备的通讯录、短信、图片、录音、装机应用列表、剪贴板和地理位置等大量隐私数据。攻击者利用Replit服务器搭建的TelegramBot上传受害者数据，并最终将数据存储在该服务器上。通过分析受害者数据，此次攻击活动早于2023年4月发生且目前仍在持续中，已发现受害者130+，主要受害区域为巴基斯坦。

2. 样本分析

样本基本信息：

图2-1 样本基本信息

样本包结构恶意功能模块如下：

图2-2 样本包结构

通过对样本代码的梳理发现样本具备接收远控指令、窃取短信、通讯录、私自截屏等一系列恶意功能。

远控指令及对应功能如下表：

表1 远控指令及功能列表

■ 数据回传方式

样本的数据回传服务器地址存储在AppTools类中，采用base64算法进行编码。

图2-3 编码后C2地址

解码后得到C2服务器地址及一个视频播放页面如下：

• https://bottestingreplit.osamakarim.repl.co/
• https://www.movies-watch.com.pk/

访问https://www.movies-watch.com.pk/，是一个名为“Movies Watch online”的视频播放网站，pk.域名归属为巴基斯坦。

图2-4 movieswatchonline网站

分析C2服务器地址发现攻击者利用Replit服务器存储受害者数据，具体方式为：在Replit服务器上搭建TelegramBot，使用TelegramBot api上传样本收集到的数据，并最终将数据存储至服务器上。

通过技术手段成功访问了攻击者存储在Replit服务器上的TelegramBot项目信息，获取到了受害者数据：

图2-5 TGBot上存储受害者数据

■ 对比DogRat开源间谍木马特征变化

根据样本数据回传方式及流量特征，判断样本基于DogRat开源间谍木马开发而来。攻击者对样本的代码特征做了修改，在对比两者静态代码后，发现远控指令和恶意功能模块均有部分差异。

代码特征差异：

图2-6 包结构对比

远控模块差异：MovieWatch可以直接下达指令，而DogRat通过读取文件的方式获取远控指令。

图2-7 远控模块对比

3. 同源样本

通过对该样本的代码特征进行同源检索，在安天移动样本库中发现一例同源样本。同源样本基本情况如下，经分析恶意功能无变化，C2服务器地址与原样本一致。

图3-1 同源样本基本信息

4. 受害者情况

根据服务器上受害者数据存储时间可知，此次攻击活动应早于2023年4月26日，且目前仍在持续中，最新受害者数据更新时间为2023年11月25日。

总计发现受害者数据130余例，包含短信、联系人、设备信息、通话记录、多媒体文件等。根据受害者图片数据判断主要受害区域为巴基斯坦，并在一张图片中发现了疑似样本开发过程中的应用截图，以及攻击者使用TelegramBot进行远控操作的截图。

攻击者对不同类型的受害数据进行了分类存储，如下所示：

图4-1 受害数据存储文件夹

短信息：

图4-2 短信息

文档粘贴板数据：

图4-3 文档粘贴板数据

通讯录信息，经判断属于巴基斯坦移动电话号码，符合03XZ-YYYYYYY特征：

图4-4 通讯录信息

录音文件：

图4-5 录音文件

设备信息：

图4-6 设备信息

视频文件:    

图4-7 视频文件

通话记录信息：

图4-8 通话记录

装机列表信息：

图4-9 装机列表

图片数据：

图4-10 图片数据

发现了巴基斯坦海关税务部门车辆登记信息表：

图4-11 巴基斯坦海关税务部门相关文件

疑似攻击者测试样本界面以及使用TelegramBot进行远控操作截图：

图4-12 疑似攻击者测试样本的截图信息

5.总结与建议

此次针对巴基斯坦地区攻击活动，攻击者通过仿冒视频播放应用，窃取了受害者通讯录、短信、地理位置、通知栏、音视频等大量隐私数据，根据获取到的受害者数据推断，攻击活动已进行了大半年时间，持续时间较长，且受害者仍在不断增加中，目前已发现受害者数量130+，样本危害性较大，需引起个人用户警惕。

建 议

IOC

hash

534C0C26B6EB180EBCF19706788B928C
5B9EFB8E95AA859E17128DB4BDA13D8B

url

https://bottestingreplit.osamakarim.repl.co/
https://www.movies-watch.com.pk/

转载来源：https://mp.weixin.qq.com/s/2rhC7-xESw1c4hE70HiiBA

图片来源网络目标可联系删除