LightSpy APT攻擊微信用戶，竊取支付數據

針對香港 iOS 用戶進行水坑攻擊的 LightSpy 惡意軟件，近日被發現嵌入在來自 20 台活躍服務器的安卓植入體 Core（核心）及其 14 個相關插件當中，用于攻擊移動用戶。

LightSpy 是一種移動高級持續性威脅（mAPT），它使用新穎的複雜技術來攻擊移動用戶。其中，這個惡意軟件已被證實出自黑客組織 APT41 之手。

最近的報告表明，該惡意軟件一直在使用微信支付系統訪問支付數據、監控私密通信，并執行各種惡意活動。

LightSpy APT 攻擊微信用戶

據多起報告顯示，LightSpy 惡意軟件是一套功能齊全的模塊化監視工具集，被發現使用各種插件來洩露并竊取私密數據和支付數據。此外，該惡意軟件強烈關注受害者的私密信息。

其功能包括：利用後端基礎設施從微信支付中洩露支付數據，并從微信獲取音頻相關功能，以記錄受害者的 VOIP 對話内容。

然而，該惡意軟件不能作爲一個獨立的應用程序來運行，因爲它也是一個插件，該惡意軟件的核心負責執行整條攻擊鏈所需的所有功能。

核心功能包括設備指紋收集、控制服務器連接建立、從服務器檢索命令以及更新自身和額外的攻擊載荷文件（又叫作插件）。

LightSpy 的 14 個插件

該惡意軟件已添加了多個插件，包括 soft list（軟列表）、baseinfo（基礎信息）、bill（賬單）、cameramodule（攝像頭模塊）、chatfile（聊天文件）、filemanager（文件管理器）、locationmodule（位置模塊）、locationBaidu（位置百度）、qq、shell、soundrecord（錄音）、telegram、wechat（微信）和 wifi。

信息來源： ThreatFabric

正如報告中提到，最重要的插件之一是位置模塊插件，它負責位置跟蹤，可以發送當前位置的快照，也可以設置指定時間間隔的位置跟蹤。這個插件基于兩個位置跟蹤框架：騰訊位置 SDK 和百度位置 SDK。

另一個重要的插件是 Soundrecord（錄音）插件，它負責錄制音頻。這個插件還可以立即或在指定的時間間隔開始麥克風錄音。此外，這個插件還可以記錄來電通話内容。

Bill（賬單）插件是另一個重要的插件，它負責從微信支付收集受害者的支付曆史信息，這包括上一筆賬單的 ID、賬單類型、交易 ID、日期以及已支付處理的标志。

iOS 命令和安卓命令之間的關系（來源：ThreatFabric）

基礎設施

LightSpy 基礎設施包含幾十個服務器，分布在中國大陸、中國香港、中國台灣、新加坡和俄羅斯，由于一些服務器返回不同的命令和載荷，可以推測攻擊者爲每次活動使用不同的 IP 地址或域。與此同時，由于一些服務器返回載荷（應該是在 2018 年編譯的），可以假設攻擊者可以在幾個攻擊活動中重複使用同一套基礎設施。另一個關于長壽命服務器的假設是，安全行業人士常常不會發現 / 披露這些服務器，因此不需要更改 IP 地址。

在分析 LightSpy 基礎設施時，我們發現了兩個值得注意的時刻：

LightSpy 與 AndroidControl（WyrmSpy）的聯系

我們獲取了硬編碼到核心中的 IP 地址，與 Lookout 報告中披露的 IP 地址是同一個。

圖 1

結果是 35900 端口已關閉，主機沒有響應 LightSpy 請求。同時，有幾個開放的端口提供 https 服務。

端口 11090 對應的 https 服務器使用過期證書加以保護，SHA256 指紋爲 f0fc2c418e012e034a170964c0d68fee2c0efe424a90b0f4c4cd5e13d1e36824，還有另外兩台主機使用相同的服務和相同的證書。兩台主機都打開了端口 443，服務于一個名爲 AndroidControl v1.0.4 的管理面闆。

圖 2

有第三台主機具有相同的收藏夾圖标（MD5 散列 542974b44d9c9797bcbc9d9218d9aee5），它托管相同的面闆。這個主機上的面闆錯誤配置，暴露了應該用于前後端之間通信的後端端點：

圖 3

第一個值得關注的點是 " 控制 " 端點，這種端點位于 Lookout 報告的 WyrmSpy 樣本中。

爲了确認這三個主機與 WyrmSpy 有關，我們做了一個簡單的請求雙 " 控制 " 端點，看到了相同的結果：

圖 4

在 WyrmSpy 的代碼中，我們可以看到它等待對含有字段 "suc" 的請求進行響應：

圖 5

因此，這三個主機都是 WyrmSpy 的活躍 C2，或者正如攻擊者所命名的 AndroidControl 或 androidRat。

由于面闆在處于調試模式的 Django 中，它暴露了一些内部信息，比如一個内部文件夾（整個前端和後端文件存儲在服務器中），以及另一個 IP 地址 47.115.7 [ . ] 112：

圖 6

LightSpy 面闆

其中一台 C2 服務 53601 端口，該服務含有 Admin 面闆：

圖 7

面闆在 VUEJS 中，除了面闆結構外，我們在底層沒有發現任何值得注意的痕迹。VUEJS 節點的功能仍然不清楚。

圖 8

一篇關于 LightSpy 的完整報告已經由 ThreatFabric 發布（詳見 https://www.threatfabric.com/blogs/lightspy-mapt-mobile-payment-system-attack），提供了有關威脅途徑、源代碼、分析及其他信息的詳細信息。

攻陷指标

控制服務器：

域

spaceskd [ . ] com

103.27.108 [ . ] 207

46.17.43 [ . ] 74

文件哈希：

第二階段載荷（smallmload .jar）

SHA256

407abddf78d0b802dd0b8e733aee3eb2a51f7ae116ae9428d554313f12108a4c  

bd6ec04d41a5da66d23533e586c939eece483e9b105bd378053e6073df50ba99

核心

插件