一款Bitter组织使用的手机远控木马分析
字数 1997 2025-08-22 12:23:00

Bitter组织Android远控木马分析教学文档

一、样本概述

1.1 基本信息

  • 文件名称: photos.apk
  • 文件大小: 701723字节
  • 哈希值:
    • MD5: D20C6731E278A1D3202B4CAA0902AFA8
    • SHA1: B6353DAC1E425C3081F672ADF24D49B33E53A902
    • CRC32: 4D82C814
  • 包名: google.comgooglesettings
  • 证书SHA1: 1173C15E0E3E69EE088CE0654CAB314F94DBD018

1.2 样本特征

  • 安装后无图标显示
  • 申请大量设备权限
  • 属于Bitter组织使用的Android端远控样本

二、样本行为分析

2.1 伪装行为

  1. 发送POST请求至: http://playstorenet.ddns.net/Youtube/index.php?
  2. 从响应数据中提取"MSG"和"URL"字段
  3. 显示"MSG"内容并尝试浏览"URL"网页
    • 目的: 伪装成服务程序弹框报错,迷惑用户

2.2 数据窃取功能

样本能够窃取以下用户信息:

2.2.1 GPS信息

  • 获取设备当前位置的经纬度坐标
  • 相关代码特征: 使用LocationManager获取位置信息

2.2.2 短信信息

  • 读取设备中所有短信内容
  • 包括发送者、接收时间、短信内容等

2.2.3 联系人信息

  • 获取通讯录中所有联系人
  • 包括姓名、电话号码、邮箱等

2.2.4 通话记录

  • 读取设备通话记录
  • 包括通话类型(呼入/呼出)、通话时间、通话时长等

2.2.5 设备基本信息

  • 设备IMEI
  • SIM卡序列号
  • 设备型号
  • 操作系统版本
  • 网络信息

2.2.6 已安装应用信息

  • 枚举设备上所有已安装应用
  • 获取应用包名、版本信息等

2.2.7 设备账户信息

  • 获取设备上登录的Google账户等账户信息

2.2.8 文件信息

  • 扫描SD卡上特定类型的文件路径:
    • .pdf, .txt, .xml, .doc, .xls
    • .xlsx, .amr, .docx, .apk, .rec

2.2.9 基站信息

  • 监听基站变化情况
  • 获取:
    • 当前连接的基站信息
    • 附近可用的基站信息

2.3 数据存储与传输

  1. 将所有窃取的数据写入文件: /storage/sdcard0/systemservice
  2. 通过POST请求上传数据至:
    http://playstorenet.ddns.net/Youtube/home.php?IMEI=[DeviceId]&SIMNO=[SimSerialNumber]

三、技术实现分析

3.1 权限申请

样本会申请以下关键权限(非完整列表):

  • 读取联系人
  • 读取短信
  • 访问精确位置
  • 读取通话记录
  • 读取外部存储
  • 访问网络

3.2 关键API使用

  1. 位置获取:

    • LocationManager
    • requestLocationUpdates

  2. 数据访问:

    • ContentResolver查询各数据URI:
      • 短信: content://sms/
      • 联系人: content://com.android.contacts/
      • 通话记录: content://call_log/calls

  3. 文件操作:

    • File类遍历目录
    • 文件扩展名过滤

  4. 网络通信:

    • HttpURLConnection进行POST请求

3.3 持久化机制

  • 无启动图标降低用户发现概率
  • 申请必要权限确保功能执行
  • 后台静默运行

四、检测与防护方案

4.1 检测指标(IOCs)

  • 网络通信:

    • playstorenet.ddns.net
    • /Youtube/index.php
    • /Youtube/home.php

  • 文件特征:

    • /storage/sdcard0/systemservice
    • 特定哈希值

4.2 防护建议

  1. 用户层面:

    • 仅从官方应用商店下载应用
    • 注意应用申请的权限是否合理
    • 警惕无图标应用

  2. 企业层面:

    • 部署移动威胁检测方案
    • 监控异常网络连接
    • 定期扫描设备可疑文件

  3. 技术防护:

    • 检测对敏感API的调用
    • 监控对敏感数据的访问
    • 分析网络通信行为

五、分析工具与方法

5.1 静态分析

  • 使用Apktool反编译APK
  • 分析AndroidManifest.xml
  • 检查敏感权限申请
  • 搜索敏感API调用

5.2 动态分析

  • 沙箱环境运行样本
  • 监控文件系统变化
  • 捕获网络流量
  • 记录API调用序列

5.3 关联分析

  • 在VirusTotal等平台查询样本哈希
  • 关联分析C2基础设施
  • 比对已知攻击组织TTPs

六、总结

该样本是Bitter组织使用的Android远控木马,具有以下特点:

  1. 功能全面,可窃取多种敏感数据
  2. 采用隐蔽执行策略
  3. 使用伪装技术迷惑用户
  4. 通过HTTP明文通信,C2使用动态域名

防护此类威胁需要结合技术手段和安全意识教育,建立多层次防御体系。

Bitter组织Android远控木马分析教学文档 一、样本概述 1.1 基本信息 文件名称 : photos.apk 文件大小 : 701723字节 哈希值 : MD5: D20C6731E278A1D3202B4CAA0902AFA8 SHA1: B6353DAC1E425C3081F672ADF24D49B33E53A902 CRC32: 4D82C814 包名 : google.comgooglesettings 证书SHA1 : 1173C15E0E3E69EE088CE0654CAB314F94DBD018 1.2 样本特征 安装后无图标显示 申请大量设备权限 属于Bitter组织使用的Android端远控样本 二、样本行为分析 2.1 伪装行为 发送POST请求至: http://playstorenet.ddns.net/Youtube/index.php? 从响应数据中提取"MSG"和"URL"字段 显示"MSG"内容并尝试浏览"URL"网页 目的: 伪装成服务程序弹框报错,迷惑用户 2.2 数据窃取功能 样本能够窃取以下用户信息: 2.2.1 GPS信息 获取设备当前位置的经纬度坐标 相关代码特征: 使用LocationManager获取位置信息 2.2.2 短信信息 读取设备中所有短信内容 包括发送者、接收时间、短信内容等 2.2.3 联系人信息 获取通讯录中所有联系人 包括姓名、电话号码、邮箱等 2.2.4 通话记录 读取设备通话记录 包括通话类型(呼入/呼出)、通话时间、通话时长等 2.2.5 设备基本信息 设备IMEI SIM卡序列号 设备型号 操作系统版本 网络信息 2.2.6 已安装应用信息 枚举设备上所有已安装应用 获取应用包名、版本信息等 2.2.7 设备账户信息 获取设备上登录的Google账户等账户信息 2.2.8 文件信息 扫描SD卡上特定类型的文件路径: .pdf, .txt, .xml, .doc, .xls .xlsx, .amr, .docx, .apk, .rec 2.2.9 基站信息 监听基站变化情况 获取: 当前连接的基站信息 附近可用的基站信息 2.3 数据存储与传输 将所有窃取的数据写入文件: /storage/sdcard0/systemservice 通过POST请求上传数据至: http://playstorenet.ddns.net/Youtube/home.php?IMEI=[DeviceId]&SIMNO=[SimSerialNumber] 三、技术实现分析 3.1 权限申请 样本会申请以下关键权限(非完整列表): 读取联系人 读取短信 访问精确位置 读取通话记录 读取外部存储 访问网络 3.2 关键API使用 位置获取 : LocationManager requestLocationUpdates 数据访问 : ContentResolver查询各数据URI: 短信: content://sms/ 联系人: content://com.android.contacts/ 通话记录: content://call_ log/calls 文件操作 : File类遍历目录 文件扩展名过滤 网络通信 : HttpURLConnection进行POST请求 3.3 持久化机制 无启动图标降低用户发现概率 申请必要权限确保功能执行 后台静默运行 四、检测与防护方案 4.1 检测指标(IOCs) 网络通信 : playstorenet.ddns.net /Youtube/index.php /Youtube/home.php 文件特征 : /storage/sdcard0/systemservice 特定哈希值 4.2 防护建议 用户层面 : 仅从官方应用商店下载应用 注意应用申请的权限是否合理 警惕无图标应用 企业层面 : 部署移动威胁检测方案 监控异常网络连接 定期扫描设备可疑文件 技术防护 : 检测对敏感API的调用 监控对敏感数据的访问 分析网络通信行为 五、分析工具与方法 5.1 静态分析 使用Apktool反编译APK 分析AndroidManifest.xml 检查敏感权限申请 搜索敏感API调用 5.2 动态分析 沙箱环境运行样本 监控文件系统变化 捕获网络流量 记录API调用序列 5.3 关联分析 在VirusTotal等平台查询样本哈希 关联分析C2基础设施 比对已知攻击组织TTPs 六、总结 该样本是Bitter组织使用的Android远控木马,具有以下特点: 功能全面,可窃取多种敏感数据 采用隐蔽执行策略 使用伪装技术迷惑用户 通过HTTP明文通信,C2使用动态域名 防护此类威胁需要结合技术手段和安全意识教育,建立多层次防御体系。