赛门铁克（Symantec）旗下移动威胁调查团队在上个月发表的一篇博文中曾指出，在一年多以前开始在中东地区大肆传播Android恶意软件的双尾蝎组织（APT-C-23）仍在针对巴基斯坦人实施攻击，并且会在操作暴露之后改进其恶意软件以感染更多的受害者。 [出自:jiwo.org]

现在，该团队通过一篇后续博文给我们带来了更多的技术细节，并更加详细地介绍了APT-C-23的运营模式，包括一长串的IoC。

概述

APT-C-23组织的目标主要集中在中东地区，尤其活跃在巴勒斯坦的领土上。赛门铁克移动威胁调查团队表示，他们发现该组织在全球20多个国家注册了数百个域名，并感染了数千名受害者。

在伪装恶意软件时，该组织使用了两种类型的应用程序：

第一类：聊天应用程序，如Chat Me、Chatous、Go Chat、Love Chat、MeetMe、SendBird、SoChat、VoiceChat、WeChat（微信）和WhispersTalk，以及其他类似的应用。

第二类：一些热门应用的更新程序，如WhatsApp、Facebook、Skype和Telegram等。

分发

正如赛门铁克在之前的博文中所描述的那样，该组织能够将部分恶意软件上传到Google Play应用商店。为了提高感染率，他们主要会使用两种分发方法。第一种方法是通过短信，其中包含指向Google云端硬盘的网址或托管APK的C＆C域名。第二种方法是将他们的应用程序上传到第三方应用商店。

赛门铁克移动威胁调查团队表示，他们在7家不同的第三方应用商店发现了在上一篇博文中提到的“Zee Player”（捆绑了GnatSpy恶意软件），但由于这些应用商店同时也提供了一些合法应用程序，因此并不能判定它们是APT-C-23的同谋，也很难对它们提起诉讼。

通信

为了接收来自C&C服务器的命令，APT-C-23实现了两种向应用推送消息的方式：Firebase云消息传递（Firebase Cloud Messaging，FCM）和SMS通信。其中，主要依赖于Firebase云消息传递，而SMS通信往往作为备用。

Firebase云消息传递

Firebase云消息传递（FCM）是谷歌推出的一项免费云服务，使得应用程序开发人员能够相对轻松地向不同平台的用户发送通知和消息，并具有很高的可靠性。相对应的，它也深受黑客们的喜爱，因为他们完全可以借助FCM来使用其他现成的攻击工具。正如谷歌所分析的那样，这些工具也包含在APT-C-23的恶意应用中。

SMS通信

APT-C-23使用SMS命令创建了一个备用系统，这在没有互联网连接、受害者可以打开和关闭移动数据和Wi-Fi时非常有用。此外，他们还可以更新C&C域，以备需要离线时使用，从而使得恶意软件能够长时间地持续运行。

运行原理

当应用程序首次启动时，它会与预置的C＆C服务器进行通信，而该服务器会将应用程序指向另一个C＆C服务器地址。这种行为允许恶意软件开发者使用许多不同的域，并使得想要阻断这些C＆C服务器域变得更加困难。赛门铁克移动威胁调查团队表示，他们共观察了超过100个不同的域，它们均被用于此目的。在获取到更新的域之后，应用程序会发送其FCM注册令牌，以便C＆C服务器能够使用FCM并向它发送命令。

下图展示了恶意应用程序与C＆C服务器之间的完整通信流程：

这些恶意应用程序均具有一个很长的可用命令列表，允许恶意软件操作者从受感染设备获取大量信息并监视设备的所有者。几乎所有命令都可通过FCM通信路径获得，其中一些命令也可通过SMS通信路径获得。最重要的是，这其中还包括一些弹性命令，例如“Update C&C domain（更新C＆C域）”、“Get an updated FCM token（获取更新的FCM令牌）”和“Enable data connection（启用数据连接）”。

完整的命令列表，以及它们可用的通信方法，可以在下表中找到：

安装更多的恶意软件

通过上面的列表我们可以看到，其中一些命令是应用程序的安装。为了获得受害者的同意，攻击者创建了一些虚假活动，模拟了Facebook、WhatsApp、Google Play、Instagram和Messenger等热门应用程序的更新。

缓解措施

赛门铁克表示，采取以下预防措施，能够在一定程度上保护你免受移动恶意软件的侵害：

• 切记不要通过不熟悉的网站下载应用程序；
• 仅安装来自可靠来源的应用程序；
• 密切关注应用程序所请求的权限；
• 安装必要的移动安全应用程序，以保护你的设备和数据；
• 始终保持操作系统升级到最新版本；
• 经常备份重要数据。