義大利再現一家Hacking Team 這是怎麼回事?

最近，RedNaga安全團隊的專家在研究一個應用時，發現竟然有一家專門研發Android間諜軟體的義大利公司。

研究員Tim Strazzere和他的同事分析了這個惡意軟體的樣本，發現該間諜軟體感染了一個可能是政府機構的伺服器。

1.該公司研發的Android間諜軟體在植入時，會實現大多數間諜軟體的常見功能n2.在第一次執行後自動從啟動器中刪除它自己n3.啟動自己的MainService並設置一個警報，以保證永久植入n4.阻止來自C2的命令或用戶的操作n5.將設備上的所有音頻靜音n6.打開或關閉GPSn7.查詢數據內部的電話URI，並寫入外部媒體以便以後進行過濾n8.創建屏幕截圖或記錄屏幕n9.錄製視頻和音頻n10.響應特定配置的簡訊號碼，包括873451679TRW68IO及回復或轉髮帶有設備信息的簡訊，執行來自下載的.dex文件（主要用於生根於不同的設備）的代碼n11.請求許可n12.可以隱藏自己的發射器，確保持久性，靜音設備上的所有音頻，打開和關閉GPS，截圖或記錄屏幕的內容，錄製視頻和音頻，回復或轉發消息，隱藏於用戶正使用的設備中，執行代碼，提取數據等n13.偽裝為Google服務的更新，比如會顯示為「ServiziGoogle」（Google服務）和「Aggiornamento effettuato con successo」（成功更新）等提示信息。n

專家注意到，Android間諜軟體的兩個IP地址和HackingTeam使用的地址相同，再加上該軟體的代碼中使用義大利字元串都表明這一惡意軟體的的開發者是一家義大利公司。安全研究員通過代碼對比，排除了Hacking Team的可能性。

到底是誰開發了該軟體？

安全專家通過對其中一個伺服器使用的SSL證書研究發現，該證書包含的「Raxir」的字元串可能就是該軟體的開發商。

Raxir是義大利公司的名稱，在2013年成立，位於義大利那不勒斯的 「CittaDellaScienza」。通過對該公司開發的軟體進行調查，研究人員發現該公司與義大利執法部門合作，提供法醫服務。

Marczak通過對被Raxir感染過的網路痕迹進行掃描，發現另一個伺服器使用的數字證書包含了「ProcuraNapoliRaxirSrv「的字元串。「Procura」是一個檢察官的辦公室。很可能這個辦公室是Raxir公司的客戶之一。

Android清單

該軟體具有如READ_CONTACTS，CAMERA，SEND_SMS，RECEIVE_SMS等的導入許可權，而這些是常見的惡意軟體行為。通過研究，該惡意軟體的開發者試圖欺騙反向工程師調用「軟體更新」的活動標籤。

字元串加密

xor.pyndef decrypt(encrypted, mod):nif not encrypted or not mod:nreturn 」nmod = mod – 0x5nout = 」nfor char in list(encrypted):nout = 『%s%s』 % (out, unichr(ord(char) ^ (mod & 0x5F)))nmod = (mod – 0xB)nreturn out.encode(『ascii』, 『replace』).encode(『UTF-32』)n

為了解密apk中嵌入的字元，專家們使用了經典的XOR Cipher。當然，如果惡意軟體包含一個函數可以解密字元串，這意味著字元串被加密到惡意軟體，使逆向工程師分析變得複雜化。

註：本文參考來源於securityaffairs

引申閱讀 又一個Hacking Team即將浮出水面

推薦閱讀：