[CyberDefenders Write-up] APT35(安卓与虚假VPN应用恶意软件分析)
场景
你的网络安全团队收到紧急通知,指出可能发生了一起涉及高级威胁组织Magic Hound的安全入侵事件。这个由伊朗支持的组织自2014年以来,一直针对政府官员、记者和组织进行网络间谍活动。
该事件涉及一个可疑应用,它在Google Play商店上伪装成VPN软件。该应用旨在从受感染的安卓设备窃取敏感信息,包括通话记录、短信、联系人和位置数据。虽然Google迅速检测并从Play商店移除了该应用,但威胁并未完全消除,因为该组织已知曾在其他平台分发类似的间谍软件,最近一次是在2021年7月。
你的任务是分析可能已暴露于该间谍软件的受感染安卓设备。你需要仔细检查设备,以确定间谍软件应用是否确实被安装,并评估对设备数据和安全性的潜在影响。利用你在网络安全和数字取证方面的专业知识,你将深入分析应用的行为以及设备上遗留的任何痕迹,以理解攻击的范围。
分类:恶意软件分析
工具:JADX, APK Studio, DB Browser for SQLite
在此实验室中,我们有一个通过adb(Android Debug Bridge)提取的安卓设备磁盘镜像,并且我们知道该设备的受害者可能下载了伪装成VPN的间谍软件,该软件被归因于APT35(Charming Kitten)。在安卓设备上安装应用时,有两种潜在的攻击途径:一是来自Google Play商店,二是来自网页浏览器或第三方应用。
尽管从场景中我们知道Google已将其从Play商店中移除,因此我们需检查该设备上的网页浏览器和其他第三方应用,以找出虚假VPN软件是如何被下载的。
完成~ CSD0tFqvECLokhw9aBeRqlYOt3ps3tPAD0LJObDymBaJQWhJrDh5ssxGxqyuFtK5WIT9X6IC+0v27xAFG2/U5BsNGGyqSXpaOQ7ftRpPV1wVFubcrUnoAvnSB7W+4fjzUSB7p+yccIIxiuaRSMh8vBgd70RiLv+CPGst69NOXVc=
