研究人员发现使用Android木马的APT攻击

APT攻击已经不是什么新鲜事，但是以前一直是针对Windows和Mac OS X等平台的攻击，近日，卡巴斯基实验室的研究人员发现一次APT攻击，利用Android平台木马来进行攻击。

据卡巴斯基实验室的研究人员称，一位西藏维权人士在2013年3月24日发现黑客攻击他的电子邮箱。攻击者向他发送钓鱼邮件，其中包含了一个恶意的Android APK包，附件名为WUC’s Conference.apk，如下图：

邮件内容上面提到了在日内瓦举行的一个人权会议，当该Android包一旦被用户安装，名为Conference的应用程序会在Android桌面上显示。如下图：

如果受害者执行该程序之后，会弹出“Dolkun lsa Chairman of the Executive Committee Word Uyghur Congress”文本，这里写程序的码工又开小差了，World写成了Word，该扣工资了。

接下来恶意软件会窃取手机上的联系人、通话记录、短信、地理位置和其他的一些手机数据，如OS版本、手机型号、SDK版本等，然后传送到架设在美国洛杉矶的C&C服务器。

按恶意软件的流程来走的话，数据应该传送到远端C&C服务器上去，但是奇怪的是，研究人员发现该软件没有发送这些数据。卡巴斯基研究院表示，该版本可能仅仅是一个早期原型版本，只用于调试目的。

卡巴斯基研究人员还在C&C服务器的IP地址上发现了一个域名，“DlmDocumentsExchange.com”。注册时间是2013年3月8日，注册名是“peng jia”，(贾鹏?)，注册邮箱是bdoufwke123010@gmail.com。

另外一个有趣的是，在DlmDocumentsExchange.com源码里发现如下代码：

其中引用的Document.apk有333583字节大小，MD5值为c4c4077e9449147d754afd972e247efc，该APK功能和Conference.apk一样，但是包含不同的文本内容，新的文本内容如下：

用浏览器打开IP64.78.161.133发现几段随机的字符串，如下：

连接到该IP的远程桌面，界面语言为中文，卡巴斯基表示，攻击者可能来自中国，如下：