肚脑虫团伙利用新特种安卓木马StealJob的攻击分析

肚脑虫(APT-C-35)，由奇安信高级威胁研究团队持续跟踪发现并命名，其主要针对巴基斯坦等南亚地区国家进行网络间谍活动的组织。此APT组织主要针对政府机构等领域进行攻击，以窃取敏感信息为主要目的。该APT组织除了以携带Office漏洞或者恶意宏的鱼叉邮件进行恶意代码的传播之外，还格外擅长利用恶意安卓APK进行传播。
近期，经监控，本高级威胁研究团队发现该组织对其恶意安卓APK框架进行了大规模升级，无论是实用性还是稳定性都增强了不少，由于本次使用的APK框架与以往所使用的样本差异性过大，因此我们通过使用其代码中出现频率较高的词汇Job，将该框架命名为StealJob。
以下为详细分析。
诱饵分析
本次发现的APK样本名为 “KashmirVoice”(克什米尔之声)的APP。
其中克什米尔指的是查谟-克什米尔地区简称，包括克什米尔谷和查谟平地。这本来是两个独立的邦国。查谟居民主要信奉印度教，克什米尔居民却基本上信奉伊斯兰教。1846年查谟首领从英国人手中买下了被占领的克什米尔。而克什米尔人口数倍于查谟。这就种下了后来争端的根源。
而克什米尔争端指的便是印度和巴基斯坦对查谟和克什米尔地区主权纷争而引发的一系列问题，两国为了这块土地打了不知多少年。
而就在近日，巴基斯坦情报部门称印度在2019年4月16日-20日会在此发动攻击，这也充分证明了两国之间的摩擦和矛盾加剧,或将开战。

而克什米尔之声指的是一个网站，该网站用于宣传印度军队的暴力行为，疑似巴基斯坦建立。


因此，该APP有很大概率是为了针对一些会上该网站进行浏览的巴基斯坦人所精心定做。
并且我们发现该样本上传地为印度：

通过包名进行初步分析，该样本疑似为测试样本，并且在将该样本和过去该组织的样本进行对比发现，样本存在很大差异性。

结合上述因素，我们初步判断，该样本为攻击者为了针对会访问克什米尔之声网站的巴基斯坦人而订做的APP版本的诱饵攻击，并为了进行测试而上传至VT。
样本分析
样本名称通过仿冒为“KashmirVoice”(克什米尔之声),诱骗用户安装，因为是测试样本，其包名与图标均没有进行仿冒。
当样本运行以后，会进行多达20种远控操作，其中包含测试操作，其远控操作有：获取用户手机通讯录、用户手机短信、用户手机通话记录、用户地理位置、用户手机文件、用户手机已安装软件等并进行上传。
以下为样本流程图：

运行后，可看到样本安装图标以及运行界面：



其中，该APP的权限申请如下图所示，大多为敏感权限：

下面开始通过代码进行分析：
1.程序通过仿冒应用，诱骗用户安装使用，运行后诱骗用户软件已卸载，实则隐藏自身图标，从而达到保护自身的目的：

2.程序通过读取本地数据库文件，从而获取远控指令，达到对用户手机的远控操作：