# 奇安信威胁情报中心

**[ti.qianxin.com/blog/articles/analysis-of-malware-android-software-spread-by-sidewinder-using-google-play/](https://ti.qianxin.com/blog/articles/analysis-of-malware-android-software-spread-by-sidewinder-using-google-play/)**

返回 TI 主页
RESEARCH

数 据 驱 动 安 全

## 背景

响尾蛇（APT-Q-39，又称SideWinder）是疑似具有南亚背景的APT组织，其攻击活动最早可
追溯到2012年，该组织主要针对巴基斯坦、中国、阿富汗、尼泊尔、孟加拉等国家展开攻
击，以窃取政府外交机构、国防军事部门、高等教育机构等领域的机密信息为目的，攻击活动
具有强烈的政治背景。该组织具备针对Windows 与 Android 双平台的攻击能力。

## 概述

近日，奇安信红雨滴团队在日常高价值样本狩猎过程中，捕获到疑似一批SideWinder组织
Android端攻击样本。根据红雨滴研究人员跟踪分析，此次的攻击活动有如下特点：

1. 样本托管在Google Play商店，伪装成Secure VPN(VPN加密通信软件)、Supereme

Allah、Z Cleaner(手机清理软件)、Secure browser(浏览器软件)，安装人数超过1K+。
2. C2地址隐蔽性增强，包括硬编码在样本中、加密保存在google play安装链接参数中、通

过firebase后台下发C2。

## 样本信息

样本1

伪装成“Z Cleaner”手机清理软件

**-** **-**

**MD5** base.apk


-----

**-** **-**

文件名 3de1efa51c4670610380ebf87725e5b8

文件大小 4.28 MB

样本2

其伪装成“Invincible Allah”软件。

**-** **-**

**MD5** Inshallah_v1.5_apkpure.com.apk

文件名 7651ed2c924d612686b4b5e6b4da0b96

文件大小 6.45 MB


-----

样本3

其伪装成“Secure VPN”加密通信软件。

**-** **-**

**MD5** Secure VPN_3.9_apkcombo.com.apk

文件名 17ccf24c4e09b1bc7ce5c0eb637a4edd

文件大小 14.0 MB


-----

## 详细分析

样本从Google Play进行安装，其安装链接中的”install_referrer”参数中携带了加密的C2(截止在
2022年06月05日应用已全部下线，未能获取到C2)。


-----

获取到C2后，把C2保存到安装目录的”MyPref”配置文件的”url”字段中。

接着，连接C2，发送上线指纹信息。


-----

设置周期任务，每间隔10分钟就会下载插件执行。

周期任务执行后，连接C2，下载插件保存到安装目录的permFex开头文件，并作为插件加载
执行。

下载插件:


-----

插件执行：

上述功能是样本1、样本2、样本3的共同点，其3个样本的不同点在于获取C2的来源：

样本1：只能从google play 安装链接中获取到后续C2；

样本2：自身还硬编码了一个C2：”https://register.srvapp.co/”;


-----

样本3：连接了firebase，可以获取firebase后台下发的C2。

## 溯源与关联

奇安信威胁情报中心分析人员通过对此次捕获样本所带的恶意代码、样本传播方式，判断本次
攻击活动的幕后黑手为响尾蛇（APT-Q-39，SideWinder）。

样本在解密服务器下发的插件时，使的解密密算法和趋势科技厂商曝光的SideWinder的APK
解密算法相同，都是前32字节作为KEY和后续数据进行xor解密【1】。


-----

使用的传播方式通过Google Play 传播，和趋势科技厂商曝光的SideWinder的APK传播方式相
同【1】。

## 总结

此次捕获的样本主要针对南亚地区开展攻击活动，国内用户不受其影响。奇安信红雨滴团队在
此提醒广大用户，切勿打开社交媒体分享的来历不明的链接，不点击执行未知来源的邮件附
件，不运行夸张标题的未知文件，不安装非正规途径来源的APP。做到及时备份重要文件，更
新安装补丁。

若需运行，安装来历不明的应用，可先通过奇安信威胁情报文件深度分析平台
（https://sandbox.ti.qianxin.com/sandbox/page）进行判别。目前已支持包括Windows、安卓
平台在内的多种格式文件深度分析。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台
（TIP）、奇安信天狗漏洞攻击防护系统、天擎、天眼高级威胁检测系统、奇安信NGSOC、
奇安信态势感知等，都已经支持对此类攻击的精确检测。

## IOCs

**MD5**

17ccf24c4e09b1bc7ce5c0eb637a4edd

3de1efa51c4670610380ebf87725e5b8

3df009405c2226fa5047de4caff3b927

9b0a33d41dda234676ba9efe379953f3

0e9a872844e912b057ebec6af011a2e7


-----

7651ed2c924d612686b4b5e6b4da0b96

5aa544b5c1432710b80aa315beef5b7d

32ee8258cc83415d87942edbc250acea

d1a7c83958cb714319fbf01f96a89504

91e4d29fd1c4ee00636040c76efe166d

**URL**

https://register.srvapp.co/

## 参考链接

[1] https://www.trendmicro.com/en_us/research/20/a/first-active-attack-exploiting-cve-20192215-found-on-google-play-linked-to-sidewinder-apt-group.html

南亚地区
APT
响尾蛇

分享到：


-----