2025年9月初,尼泊尔各地爆发的大规模抗议活动为响尾蛇APT组织精心策划的一场复杂行动提供了温床。
随着示威者组织起来反对政府政策和社交媒体限制,威胁行为者利用这种动荡局势分发伪装成合法紧急服务的恶意应用程序。
寻求最新动态或援助的受害者被伪装成尼泊尔当局的逼真身份所引诱,结果安装了恶意软件,这些软件从移动设备和Windows系统中窃取了敏感数据。
响尾蛇的运作依赖于双管齐下的投放机制。在安卓设备上,受害者会遇到仿冒尼泊尔紧急服务登录页面的钓鱼网站。
输入凭据后,该网站会重定向至一个APK下载链接——该文件通常名为Gen_Ashok_Sigdel_Live.apk,用户会以为安装它就能获取实时新闻而进行安装。
与此同时,Windows用户从一个克隆的紧急求助热线门户网站下载EmergencyApp.exe(图6)。这两个二进制文件都请求广泛的权限——文件系统访问权、麦克风和摄像头权限——以方便数据泄露。
StrikeReady Labs的分析师指出,该组织蓄意利用地缘政治事件来最大化参与度,将恶意载荷嵌入从半岛电视台等知名媒体获取的诱饵内容中。
这些诱饵为该操作增添了可信度,并帮助恶意软件绕过非技术用户的粗略检查。一旦安装,这款移动后门程序就会初始化一项服务,筛选文档和图像文件以进行数据窃取。
Windows变体的运作方式类似,会生成后台任务来收集带有.docx、.pdf和.xlsx等扩展名的文件。
感染机制与权限滥用
对安卓样本的进一步检查显示,存在一个多线程的文件上传服务类,该类负责数据窃取。
执行时,该服务会初始化一个具有15个工作线程的ExecutorService。每个工作线程会扫描设备存储,查找与预定义文档和图像扩展名匹配的文件:
public class FileUploadService extends Service {
private static final int THREAD_COUNT = 15;
private final List<String> docExts = Arrays.asList(".txt", ".pdf", ".docx", ".xlsx");
private final List<String> imgExts = Arrays.asList(".jpg", ".png");
private ExecutorService executorService;
@Override
public int onStartCommand(Intent intent, int flags, int startId) {
executorService = Executors.newFixedThreadPool(THREAD_COUNT);
scanAndUpload();
return START_STICKY;
}
private void scanAndUpload() {
for (String ext : docExts) {
// Launch tasks to upload matching files
executorService.submit(() -> uploadFiles(ext));
}
for (String ext : imgExts) {
executorService.submit(() -> uploadFiles(ext));
}
}
}一旦文件被识别,HTTP POST请求就会将它们打包成多部分表单数据,并使用网络捕获中出现的可识别边界标记(----qwerty)。
所有被盗文件都被发送至https://playservicess.com/dtta/files.php,这是一个由“响尾蛇”控制的C2端点。通过安卓的前台服务通知和Windows自动启动注册表项来维持持久性。
通过利用看似合法的用户界面并滥用高级权限,响尾蛇实现了一种隐秘的感染途径,能够同时入侵企业环境和个人环境。
安全团队应监控已知的IOC域名(例如playservicess.com)、可疑的APK安装以及包含多部分有效载荷的异常出站流量。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
