GoldenCup——针对世界杯球迷的新网络威胁

随着世界杯的召开，新的网络威胁也随之而来。以色列国防军（Israel Defense Forces，IDF）的官员最近发现了一场目标瞄准以色列士兵的Android间谍软件分发活动，并认为它是由“哈马斯”精心策划的。在这场活动中，最新的的几个恶意软件样本是由来自ClearSky的安全研究人员发现的。
在我们的研究中，我们关注的是最近的一个样本，一个被称为“Golden Cup”的应用程序，它是在2018年世界杯开始之前推出的。
 
分发/感染
这场活动开始于2018年初。在当时，恶意应用程序（“GlanceLove”、“WinkChat”）主要由犯罪分子通过使用窃取来的Facebook用户资料构建的虚假Facebook账户传播，他们试图引诱IDF士兵到这两个平台上来进行社交，实质上是传播间谍软件。由于使用这种方法并没有取得太大的成功，他们的最后一次尝试是迅速创建一个与世界杯相关的应用程序，并将其分发给了以色列公民，而不仅仅是士兵。

 

官方的“Golden Cup”Facebook页面，短链接重定向到Google Play的应用程序页面
我们认为，它是在十分仓促的情况下完成的。因为与GlanceLove不同，它没有任何真正意义上的混淆，甚至于暴露了它的C＆C服务器端和文件清单，可供任何人浏览。根据清单内容显示，它包含了大约8GB的被盗数据。

最近的一个名字是“goldncup.com”，创建日期是比赛开始的前一周
 
它是怎么运行的
为了进入能够Google Play商店，恶意应用程序使用了一种分阶段的方法，这是目前恶意软件开发者经常使用的一种方法。最初的应用程序看起来完全像是合法的，并且它的大部分代码也的确旨在实现应用程序所描述将要提供的真实功能。此外，它还会从设备收集标识符和一些数据。
在从C＆C获得命令后，该应用程序能够以.dex文件的形式下载一个恶意有效载荷。这个文件被动态加载，并被添加了额外的恶意功能。
通过这种方法，恶意软件开发者能够确保他们的应用程序成功上传到Google Play商店，然后再为它们添加恶意功能。
 
与C＆C的通信
为了与其C＆C进行通信，该应用程序使用了MQTT（消息队列遥测传输）协议，该协议的默认传输端口是TCP端口1883。
初始化MQTT客户端。

初始化MQTT客户端
该应用程序使用硬编码的用户名和密码连接到MQTT代理，并为每个设备生成唯一的设备标识符。

MQTT连接到代理
MQTT通信主要用于更新设备状态以及从C＆C获取命令。它使用不同的主题，包括唯一的设备标识符、哪一端发送消息，以及它是信息消息还是命令。
 
HTTP通信
除了MQTT通信之外，该应用程序还使用纯文本HTTP通信来下载.dex文件并上传收集的数据。
所有正在上载或下载的文件都是在ECB模式下通过AES加密的zip文件。每个文件的密钥都是随机生成的，并以固定的偏移量存储在加密文件中。
为了上传文件，应用程序使用与服务器进行的基本REST通信，以检查文件是否存在。如果不存在，则上传。
用于上传的路径是：
http:///apps/d/p/op.php
通信看起来像这样的：

第一阶段
应用程序攻击流程的第一阶段是收集设备信息和设备上已安装的应用程序列表。然后将它们上传到C＆C HTTP服务器。


基本设备信息的收集
此外，在此阶段，应用程序可以处理以下几个命令中的任何一个：
l  收集设备信息（Collect device info）
l  安装应用程序（Install app）
l  确定是否在线（Is online?）
l  更改服务器域（Change server domain）
其中，最有意思的命令是“Install app”命令。该命令用于下载包含第二阶段dex文件的经加密的zip文件，解压缩并加载它。
第二阶段
第二阶段的dex文件包含3个正在使用的主要服务：
l  ConnManager – 处理与C＆C的连接
l  ReceiverManager – 等待传入呼叫/应用程序安装
l  TaskManager – 管理数据收集任务
C＆C服务器地址与第一阶段使用的地址不同，因此应用程序会重新连接到新的服务器，并启动周期性的数据收集任务。
通过分析TaskManager类，我们可以看到在这个阶段支持的新命令：