恋爱陷阱：基于商业木马针对韩国交友平台攻击活动分析

• 根据某位受害者收到的钓鱼短信（时间为2023年3月），本次攻击活动应发生在3月之前；

• APP主要使用群体为韩国年轻人，攻击者能够定位受害者人群，采用了短信钓鱼的方式发起社会工程攻击；

• 利用钓鱼网站进行信息收集和恶意样本分发，受害者风险防范意识较弱故而极易“上钩”，已发现钓鱼网站收集的受害者信息超过2w条；

样本基本情况：

图2-1 样本情况

样本运行后会显示虚假提示打开相关权限，实际为请求设备敏感权限。

图2-2 左图为原图，中图为翻译，右图为实际请求权限

恶意功能相关类和包均采用了混淆:

图2-3 样本包结构

■ C2服务器

C2服务器使用base64编码进行混淆，解码获得了两个域名以及对应的通讯端口。

图2-4 通讯端口

攻击者采用了主备服务器，优先使用主服务器，如失败，再尝试备用服务器。

图2-5 主备服务器

■ 恶意功能分析

模拟器检测：

图2-6 模拟器检测

获取权限后伪装成GooglePlay：

图2-7 获取权限后伪装为GooglePlay

读取日志：

图2-8 读取日志

获取录音文件：

图2-9 获取录音文件

获取日志文件：

图2-10 获取日志文件

获取录音：

图2-11 获取录音

开启自动唤醒：

图2-12 开启自动唤醒

获取详细定位：

图2-13 获取详细定位

写入日志：

图2-14 写入日志

录音：

图2-15 录音

获取触屏操作：

图2-16 获取触屏操作

获取通知：

图2-17 获取通知

屏幕扫描：

图2-18 屏幕扫描

打开摄像头：

图2-19 打开摄像头

屏幕录制：

图2-20 屏幕录制

下载恶意子包：

图2-21 下载恶意子包

攻击者使用的服务器sms.allthatmall.co.kr 解析IP为 64.176.229.138，归属美国弗罗里达州。

图3-1 ip查询

ip.noondate.net和noons.kr解析地址为158.247.206.254，归属韩国。

图3-2 ip查询

攻击者账户创建时间为2023年6月中旬。

图3-3 疑似攻击者账户

在服务器中发现了攻击者使用SpyroidRat商马的源码压缩包：

图3-4 SpyroidRat商马的源码压缩包

同时在服务器上发现了未发布的钓鱼页面，该页面完美复刻了韩国的快递官网https://www.ilogen.com/，推测为攻击者之后攻击计划的一部分。仿冒页面如下：

图3-5 仿冒韩国快递官网页面

■ 受害者情况

在攻击者服务器上发现钓鱼网站收集到的受害者数据（包含姓名和电话号码）超过两万条：

图3-7 受害者数据存储

通过对该样本的代码特征进行同源检索，在安天移动样本库中发现同源样本10+，恶意功能无变化，攻击者使用了相同的服务器，部分同源样本如下：

图4-1 部分同源样本

通过whois域名查询noodn.kr和noons.kr相关信息，发现此为同一个人注册，疑似包含攻击者信息，昵称为gsfgff，电话为82-021-644-7378，邮箱为[email protected]。

表1 noond.kr 域名相关信息

表2 noons.kr 域名相关信息

本次攻击活动采用社会工程学对特定人群进行短信钓鱼，目前已知受害者人数超2w人，且攻击活动仍在持续中，用户应提高风险防范意识，不轻易点击来源不明链接，不随意安装未知应用。

· 64.176.229.138

· 158.247.206.254

hash

· FDD547B7645D5E150310A5FBBA75DB4A

· FC7431A49FCDB22F4A6A90703561285B

· 082ACFC3187FDC83E0FAEE73B251238A

· 9A33147D3D24883B8C227E11ED698547

· 2D86DA119BD9C57DB8619F8E4B8627DE

· 3FBDD35BD4184ECFA0129A7B31C227A9

· 6FA9E1B91BEAA0A59FA2C006F4583CC9