概述：

DonotTeam是一个疑似具有南亚某国政府背景的APT组织，其组织具备针对Windows与CMS.zone.ci/e/tags/htag.php?tag=Android target=_blank class=infotextkey>Android双平台的攻击能力。在长期的跟踪过程发现，发现其安装图标伪装成微信、程序包名伪装成微信的程序包名，开始仿冒微信，针对群体发生了变化，开始针对使用微信群体的用户。

传播的恶意软件大都具有比较完善的窃取用户隐私数据的功能，窃取的用户隐私数据包括短信、联系人、通讯录、通话记录、键盘记录、日历行程等信息。

发展时间线：

 

1. 样本信息

MD5：34a5b1b6c61d75b92476e3be2379b934

包名：com.tencent.mm

应用名：SIMService

安装图标：

 

2. 恶意行为综述

该程序是一款仿冒微信应用的恶意软件，运行后诱导用户开启可访问性服务，开启服务后隐藏图标，隐藏图标后驻后台运行与服务器建立链接，服务器下发不同参数的远程控制指令，获取不同隐私数据；该应用窃取了用户包括短信、联系人、通讯录、键盘记录、日历行程等信息。

 

3. 运行流程图

程序运行，隐藏图标，后台运行与服务器进行交互，执行不同的远程指令，根据指令获取用户隐私信息，将包含短信、联系人、通讯录、日历行程等信息的txt文件上传到服务器。

图3-1 程序运行流程图

 

4. 技术原理分析

4.1 自我防护

4.1.1 仿冒微信

微信经过这些年的发展，已经遍布全球。从国内外来看，微信的用户安装量已经达十亿，日月活量也是亿级。微信已经深入到千家万户，微信已经融入到日常的生活当中，安装微信应用对用户来说已经习以为常。而此恶意应用从安装图标、包名结构上来仿冒微信。此仿冒应用，正是利用现在用户的心理，让用户对此仿冒应用失去防范意识，进而达到更好的伪装目的。

图4-1 仿冒微信应用

4.1.2 技术防护

恶意程序在除仿冒微信之外在其他方式了进行了自我防护，首先隐藏安装图标，对普通用户而言就达到了隐藏目的。隐藏图标后为了保障其能够长时间的运行，在技术上使用了电源锁，来保障恶意程序长时间运行。在通讯方式上采用了AES加密传输，来保障通讯信道传输安全。

1）应用安装启动后会隐藏自身图标，程序可以更好的加以隐藏。

图4-4 隐藏图标

2）设置电源锁，用来保障程序常驻后台运行。

图4-5 设置电源锁

3）在与服务器进行通信的时候采用了AES加密算法，确保通讯当中不被窃听。

图4-6 通讯加密

4.2 程序加载运行

恶意程序在诱导用户安装之后，开启可访问性服务，保障应用无障碍运行。运行之后与服务器建立通讯。通讯信道采用了AES加密的方式，确保通信安全。建立通讯之后获取用户IMEI、手机号码、运营商类型等信息，用来表示用户的唯一性。

1）应用首次运行请求开启可访问性服务，保障应用无障碍运行。

图4-7 请求开启可访问性服务

2）启动线程连接服务器，与服务器进行socket通信，建立与服务器的链接。之前样本与服务器通讯的信道未加密，而最新发现的样本与服务器通信的信道采用的AES加密的方式加密。

服务器地址：newbulb.xyz。

图4-8 服务器地址

图4-9 与服务器通讯

3）获取用户IMEI、手机号码、运营商类型等信息，用来区别用户的唯一性。

图4-10 获取用户设备信息

4.3 远程控制

恶意程序从服务器端获取远控命令，恶意程序根据不同的指令，获取用户通讯录、获取用户短信、获取外部存储器文件列表、获取已安装应用列表、获取日历日程事件信息、对用户通话进行录音等功能。与服务器进行通信，将包含隐私信息的txt文件进行上传，获取隐私信息。

4.3.1 获取信息

1）对远程控制指令进行了加密，加密方式是bes64加密。

图4-11 远程控制指令加解密

2）当服务器下发远程指令Q1RmbGFn，根据远程指令Q1RmbGFn将通讯录信息保存在contact.txt文件当中，并获取用户通讯录信息。

图4-12获取用户通讯录信息

3）当服务器下发远程指令Q2FsbA==，根据远程指令Q2FsbA==获取用户设备通话记录信息：

图4-13 获取用户设备通话记录信息

4）当服务器下发远程指令U01TZmxhZw==，根据远程指令U01TZmxhZw==获取用短信信息：

图4-14 获取短信信息

5）当服务器下发远程指令VHJlZWZsYWc=，根据远程指令VHJlZWZsYWc=获取用户外部存储器文件列表：

图4-15 获取外部存储器文件列表

6）当服务器下发远程指令VHJlZWZsYWc=，根据远程指令VHJlZWZsYWc=获取用户已安装应用列表：

图4-16 获取已安装应用列表

7）当服务器下发远程指令Q0VsYWc=，根据远程指令Q0VsYWc=获取用户日历日程事件信息：

图4-17 获取日历日程事件信息

8）当用户手机处理监听状态时，对用户通话记录进行录音。并保存/mnt/sdcard/CMS.zone.ci/e/tags/htag.php?tag=Android target=_blank class=infotextkey>Android/.system路径下。

图4-17 对通话记录录音

4.3.2 上传信息

1）与服务器建立链接，地址是：newbulb.xyz

图4-18 与服务器建立链接

2）将获取的所有信息保存到.txt文件当中，并写入DataOutputStream流中上传至服务器。服务器地址是：newbulb.xyz/uploads/。

图4-19 上传保存隐私数据的文件

 

5. 扩展分析

5.1 样本信息

5.2 样本域名信息

 

6. 安全建议

1. 当应用申请开启无障碍服务时，应当警惕起来，提高自己的防范意识。
2. 面对隐藏自身图标无法正常卸载的应用，可进入应用程序列表进行卸载。
3. 在手机当中安装必要的安全软件，并保持安全软件更新。
4. 应当在正规的应用市场获取需要使用的程序。
5. 关注“暗影安全实验室”微信公众号，我们将持续关注安全事件。