Blue Coat 研究人员发现了全新安卓恶意软件，它专门攻击政府、军队以及金融、工程等行业的高层人士。证据表明该恶意软件的攻击对象分布在至少 37 个国家或地区。

　　该恶意软件的攻击活动复杂程度高，技术水平远在一般的安卓恶意软件之上。最值得关注的是攻击者留下的痕迹指向全球多个位置。大量关于攻击出处的假线索表明攻击者蓄意混淆视听，隐藏真实来源。

　　除了留下假线索隐蔽身份，攻击者还通过第三方基础设施安全网络路由通信。该基础设施基于多层命令和控制体系结构，同时利用知名公共博客网站和可能已遭入侵的私人网站。

　　从技术角度来说，此恶意软件与普通样本迥然不同，完全是精心设计的间谍工具。它的主要目的是录制通话音频并收集受害者的身份和位置信息。鉴于受害对象包括政界人士和使馆人员，这项攻击应该是以各个关键行业的高层人士为目标，有组织、有预谋的窃取机密或内部信息的间谍活动。

　　感染

　　攻击对象是精心选择的，并使用鱼叉式网络钓鱼 (spearphishing) 攻击进行定位。恶意软件为受害者分配单独的目标标识符，并向每个受害者单独发送 WhatsApp 或 Viber 更新通知电子邮件。如完整报告所述，研究人员发现了一封电子邮件以巴拉圭外交部工作人员为攻击目标，还有一封邮件的目标是巴拉圭联合国代表团成员。电子邮件如下所示：

　　在受害者使用安卓设备访问 URL 时，他们会下载一个名为“WhatsAppUpdate.apk”的文件。使用 Apple iOS 设备访问链接会下载一个基于 Cydia 的 iOS 应用。同样地，使用黑莓设备访问会下载一个黑莓应用。在大多数情况下，使用普通 PC 访问同样的链接会重定向到 BBC 新闻网站。

　　恶意软件伪装成 WhatsApp 更新工具，从下图中可以看出，它的界面很简单：

　　使用 Blue Coat 新一代恶意软件分析设备 (Malware Analysis Appliance) 的移动威胁分析(Mobile Threat Analysis) 功能，可以轻松地发现命令和控制基础设施的入口点。分析表明这是一个多层级结构，攻击者可以迅速调整基础设施，隐藏真正攻击源。这样的设计选择为攻击者提供了极大的敏捷性。

　　攻击者依靠第三方控制的基础设施执行命令和控制。为了获得可靠性和敏捷性，他们使用多层级结构，可以灵活地获得更新并随时转移。以下为该结构的示意图：

　　第一级包含知名的博客网站。这些博客网站不是用于收集数据或发布更多命令，而只是托管用于访问第二级命令和控制服务器的嵌入加密配置信息。此类信息隐藏在如下所示的常规博客条目中。

　　博客文章的开始为常规文本，这可以确保在搜索引擎索引和其他摘要中显示“有效”内容。文本中有大加密数据块，在经过恶意软件解密后，包含第二级基础设施的位置和身份验证信息。这样，只要发布更新的博客，即可随时更改整个第二级基础设施。

　　为实现冗余，恶意软件会检测多个博客，每个博客均包含第二级命令和控制服务器的独特配置信息。我们发现了托管于 LiveJournal.com 和 Tumblr 的此类博客帐户。此外，博客帐户列表可使用第二级基础设施更新。因此，攻击者的基础设施非常敏捷，不会因博客帐户被暂停而受到影响。

　　第二级命令和控制基础设施托管于可能已被入侵的网站。我们在波兰、俄罗斯和德国发现了此类第二级服务。在调查中，我们发现这些网站看起来互不相关，但是它们都使用版本已过期的 Joomla 内容管理系统。黑客和犯罪分子经常利用此类网站发动攻击。

　　第二级基础设施用于将记录的通话通过代理传输到实际的放置区并获取更新。更新可以是新应用代码或第一级博客的更新列表。第二级代理服务器的所有往来通信均完全加密，让包含被入侵网站的代理层无法发现详细信息。

　　归属：隐藏真实来源

　　在已发布的“Inception”报告中已经说过，攻击者留下了来源线索，指向许多地点。这与整个间谍活动的做法相同，即线索指向全球多个国家/地区和地理位置。由于存在大量不一致的信息，我们认为攻击者蓄意隐藏行踪，制造虚假信息进行误导。

　　如何识别并防范针对性攻击？

　　1.针对性强的攻击不容易识别。很多时候，人们薄弱的意识给了它们可趁之机。例如，在这个案例中，鱼叉式网络钓鱼电子邮件与正常的电子邮件很难区分。用户应当具有防范潜在攻击的意识。如果收到了 Whatsapp 更新电子邮件，但重定向到了 BBC，这就有问题，应当报告给 IT 安全团队。

　　2.只运行从 Google Play 或 Apple 的 App Store 安装的官方应用可以显著提升安全。在此次间谍活动中，受到攻击的对象都使用第三方应用市场、越狱手机、或运行来源不明的应用。

　　3.要快速识别、屏蔽和修复此类攻击，IT 专业人员必须要有合适的工具。他们需要网络取证设备来记录流量并在发现受到攻击后对威胁进行追溯性分析。

　　4.沙箱可以有效防范多态恶意软件和其他绕过传统防线的威胁。将威胁放到沙箱环境中非常重要，这样可以使用与组织的黄金映像 (Golden Image) 相同的软件配置检测威胁，发现组织面临的真实风险。沙箱功能还可用于识别本案例中的移动威胁。

　　5.Blue Coat 本周发布的最新恶意软件分析设备 (Malware Analysis Appliance) 可支持分析和识别此类移动威胁。