意大利再现一家Hacking Team 这是怎么回事?

最近，RedNaga安全团队的专家在研究一个应用时，发现竟然有一家专门研发Android间谍软件的意大利公司。

研究员Tim Strazzere和他的同事分析了这个恶意软件的样本，发现该间谍软件感染了一个可能是政府机构的服务器。

1.该公司研发的Android间谍软件在植入时，会实现大多数间谍软件的常见功能
2.在第一次执行后自动从启动器中删除它自己
3.启动自己的MainService并设置一个警报，以保证永久植入
4.阻止来自C2的命令或用户的操作
5.将设备上的所有音频静音
6.打开或关闭GPS
7.查询数据内部的电话URI，并写入外部媒体以便以后进行过滤
8.创建屏幕截图或记录屏幕
9.录制视频和音频
10.响应特定配置的短信号码，包括873451679TRW68IO及回复或转发带有设备信息的短信，执行来自下载的.dex文件（主要用于生根于不同的设备）的代码
11.请求许可
12.可以隐藏自己的发射器，确保持久性，静音设备上的所有音频，打开和关闭GPS，截图或记录屏幕的内容，录制视频和音频，回复或转发消息，隐藏于用户正使用的设备中，执行代码，提取数据等
13.伪装为Google服务的更新，比如会显示为“ServiziGoogle”（Google服务）和“Aggiornamento effettuato con successo”（成功更新）等提示信息。

专家注意到，Android间谍软件的两个IP地址和HackingTeam使用的地址相同，再加上该软件的代码中使用意大利字符串都表明这一恶意软件的的开发者是一家意大利公司。安全研究员通过代码对比，排除了Hacking Team的可能性。

到底是谁开发了该软件？

安全专家通过对其中一个服务器使用的SSL证书研究发现，该证书包含的“Raxir”的字符串可能就是该软件的开发商。

Raxir是意大利公司的名称，在2013年成立，位于意大利那不勒斯的 “Citta'DellaScienza”。通过对该公司开发的软件进行调查，研究人员发现该公司与意大利执法部门合作，提供法医服务。

Marczak通过对被Raxir感染过的网络痕迹进行扫描，发现另一个服务器使用的数字证书包含了“ProcuraNapoliRaxirSrv“的字符串。“Procura”是一个检察官的办公室。很可能这个办公室是Raxir公司的客户之一。

Android清单

该软件具有如READ_CONTACTS，CAMERA，SEND_SMS，RECEIVE_SMS等的导入权限，而这些是常见的恶意软件行为。通过研究，该恶意软件的开发者试图欺骗反向工程师调用“软件更新”的活动标签。

字符串加密

xor.py
def decrypt(encrypted, mod):
if not encrypted or not mod:
return ”
mod = mod – 0x5
out = ”
for char in list(encrypted):
out = ‘%s%s’ % (out, unichr(ord(char) ^ (mod &  0x5F)))
mod = (mod – 0xB)
return out.encode(‘ascii’, ‘replace’).encode(‘UTF-32’)

为了解密apk中嵌入的字符，专家们使用了经典的XOR Cipher。当然，如果恶意软件包含一个函数可以解密字符串，这意味着字符串被加密到恶意软件，使逆向工程师分析变得复杂化。

注：本文参考来源于securityaffairs
引申阅读 又一个Hacking Team即将浮出水面