{
	"id": "24048d1b-2688-49aa-86b8-32450d215b09",
	"created_at": "2026-04-10T03:21:32.971744Z",
	"updated_at": "2026-04-10T03:22:17.917179Z",
	"deleted_at": null,
	"sha1_hash": "5382813415de82cbb20133022d2365ec7f7d04e6",
	"title": "奇安信威胁情报中心",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1803424,
	"plain_text": "奇安信威胁情报中心\r\nArchived: 2026-04-10 03:07:19 UTC\r\n背景\r\n响尾蛇（APT-Q-39，又称SideWinder）是疑似具有南亚背景的APT组织，其攻击活动最早可追溯到2012\r\n年，该组织主要针对巴基斯坦、中国、阿富汗、尼泊尔、孟加拉等国家展开攻击，以窃取政府外交机\r\n构、国防军事部门、高等教育机构等领域的机密信息为目的，攻击活动具有强烈的政治背景。该组织具\r\n备针对Windows 与 Android 双平台的攻击能力。\r\n概述\r\n近日，奇安信红雨滴团队在日常高价值样本狩猎过程中，捕获到疑似一批SideWinder组织Android端攻击\r\n样本。根据红雨滴研究人员跟踪分析，此次的攻击活动有如下特点：\r\n1. 样本托管在Google Play商店，伪装成Secure VPN(VPN加密通信软件)、Supereme Allah、Z\r\nCleaner(手机清理软件)、Secure browser(浏览器软件)，安装人数超过1K+。\r\n2. C2地址隐蔽性增强，包括硬编码在样本中、加密保存在google play安装链接参数中、通过firebase后\r\n台下发C2。\r\n样本信息\r\n样本1\r\n伪装成“Z Cleaner”手机清理软件\r\n- -\r\nMD5 base.apk\r\n文件名 3de1efa51c4670610380ebf87725e5b8\r\n文件大小 4.28 MB\r\nhttps://ti.qianxin.com/blog/articles/analysis-of-malware-android-software-spread-by-sidewinder-using-google-play/\r\nPage 1 of 10\n\n样本2\r\n其伪装成“Invincible Allah”软件。\r\n- -\r\nMD5 Inshallah_v1.5_apkpure.com.apk\r\n文件名 7651ed2c924d612686b4b5e6b4da0b96\r\n文件大小 6.45 MB\r\nhttps://ti.qianxin.com/blog/articles/analysis-of-malware-android-software-spread-by-sidewinder-using-google-play/\r\nPage 2 of 10\n\n样本3\r\n其伪装成“Secure VPN”加密通信软件。\r\n- -\r\nMD5 Secure VPN_3.9_apkcombo.com.apk\r\n文件名 17ccf24c4e09b1bc7ce5c0eb637a4edd\r\n文件大小 14.0 MB\r\nhttps://ti.qianxin.com/blog/articles/analysis-of-malware-android-software-spread-by-sidewinder-using-google-play/\r\nPage 3 of 10\n\n详细分析\r\n样本从Google Play进行安装，其安装链接中的”install_referrer”参数中携带了加密的C2(截止在2022年06月\r\n05日应用已全部下线，未能获取到C2)。\r\nhttps://ti.qianxin.com/blog/articles/analysis-of-malware-android-software-spread-by-sidewinder-using-google-play/\r\nPage 4 of 10\n\n获取到C2后，把C2保存到安装目录的”MyPref”配置文件的”url”字段中。\r\n接着，连接C2，发送上线指纹信息。\r\nhttps://ti.qianxin.com/blog/articles/analysis-of-malware-android-software-spread-by-sidewinder-using-google-play/\r\nPage 5 of 10\n\n设置周期任务，每间隔10分钟就会下载插件执行。\r\n周期任务执行后，连接C2，下载插件保存到安装目录的permFex开头文件，并作为插件加载执行。\r\n下载插件:\r\nhttps://ti.qianxin.com/blog/articles/analysis-of-malware-android-software-spread-by-sidewinder-using-google-play/\r\nPage 6 of 10\n\n插件执行：\r\n上述功能是样本1、样本2、样本3的共同点，其3个样本的不同点在于获取C2的来源：\r\n样本1：只能从google play 安装链接中获取到后续C2；\r\n样本2：自身还硬编码了一个C2：”https://register.srvapp.co/”;\r\nhttps://ti.qianxin.com/blog/articles/analysis-of-malware-android-software-spread-by-sidewinder-using-google-play/\r\nPage 7 of 10\n\n样本3：连接了firebase，可以获取firebase后台下发的C2。\r\n溯源与关联\r\n奇安信威胁情报中心分析人员通过对此次捕获样本所带的恶意代码、样本传播方式，判断本次攻击活动\r\n的幕后黑手为响尾蛇（APT-Q-39，SideWinder）。\r\n样本在解密服务器下发的插件时，使的解密密算法和趋势科技厂商曝光的SideWinder的APK解密算法相\r\n同，都是前32字节作为KEY和后续数据进行xor解密【1】。\r\n使用的传播方式通过Google Play 传播，和趋势科技厂商曝光的SideWinder的APK传播方式相同【1】。\r\nhttps://ti.qianxin.com/blog/articles/analysis-of-malware-android-software-spread-by-sidewinder-using-google-play/\r\nPage 8 of 10\n\n总结\r\n此次捕获的样本主要针对南亚地区开展攻击活动，国内用户不受其影响。奇安信红雨滴团队在此提醒广\r\n大用户，切勿打开社交媒体分享的来历不明的链接，不点击执行未知来源的邮件附件，不运行夸张标题\r\n的未知文件，不安装非正规途径来源的APP。做到及时备份重要文件，更新安装补丁。\r\n若需运行，安装来历不明的应用，可先通过奇安信威胁情报文件深度分析平台\r\n（https://sandbox.ti.qianxin.com/sandbox/page）进行判别。目前已支持包括Windows、安卓平台在内的多种\r\n格式文件深度分析。\r\n目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、奇安信\r\n天狗漏洞攻击防护系统、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支\r\n持对此类攻击的精确检测。\r\nIOCs\r\nMD5\r\n17ccf24c4e09b1bc7ce5c0eb637a4edd\r\n3de1efa51c4670610380ebf87725e5b8\r\n3df009405c2226fa5047de4caff3b927\r\n9b0a33d41dda234676ba9efe379953f3\r\n0e9a872844e912b057ebec6af011a2e7\r\n7651ed2c924d612686b4b5e6b4da0b96\r\n5aa544b5c1432710b80aa315beef5b7d\r\n32ee8258cc83415d87942edbc250acea\r\nhttps://ti.qianxin.com/blog/articles/analysis-of-malware-android-software-spread-by-sidewinder-using-google-play/\r\nPage 9 of 10\n\nd1a7c83958cb714319fbf01f96a89504\r\n91e4d29fd1c4ee00636040c76efe166d\r\nURL\r\nhttps://register.srvapp.co/\r\n参考链接\r\n[1] https://www.trendmicro.com/en_us/research/20/a/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group.html\r\nSource: https://ti.qianxin.com/blog/articles/analysis-of-malware-android-software-spread-by-sidewinder-using-google-play/\r\nhttps://ti.qianxin.com/blog/articles/analysis-of-malware-android-software-spread-by-sidewinder-using-google-play/\r\nPage 10 of 10",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://ti.qianxin.com/blog/articles/analysis-of-malware-android-software-spread-by-sidewinder-using-google-play/"
	],
	"report_names": [
		"analysis-of-malware-android-software-spread-by-sidewinder-using-google-play"
	],
	"threat_actors": [],
	"ts_created_at": 1775791292,
	"ts_updated_at": 1775791337,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/5382813415de82cbb20133022d2365ec7f7d04e6.pdf",
		"text": "https://archive.orkl.eu/5382813415de82cbb20133022d2365ec7f7d04e6.txt",
		"img": "https://archive.orkl.eu/5382813415de82cbb20133022d2365ec7f7d04e6.jpg"
	}
}