第一章 序

近日，奇安信病毒响应中心移动安全团队监测到一批伪装成泰国政府机构的新型恶意软件，并通过数据挖掘和分析发现，此恶意软件家族在较短的时间内，呈现爆发式的增长，行业拓展到银行、保险、航空和生活服务等，国家也蔓延到秘鲁和菲律宾等东南亚国家。为了躲避安全检测，家族频繁迭代版本，在我们的病毒库中，已检测到150+样本，伪装成24个机构相关应用。

该家族主要通过钓鱼网站和第三方应用市场进行传播，目前在泰国多个政府机构官方网站中都已发出安全告警。土地部官网告警如下：

第二章 家族分析

伪装应用

24个伪装的应用相关机构为：

泰国法院（COJ）、泰国特别调查部（DSI）、泰国税务局（Revenue）、泰国商务部（MOC）、泰国土地部（SmartLands）、泰国电力局（PEA Smart Plus）、泰国财政部（MOF）、泰国水务局（MWA onMobile）、泰国消费者保护委员会办公室（OCPB Connect）、泰国银行（BOT）、开泰银行（KBank）、花旗银行泰国分行（Citibank TH）、泰国人寿保险（Thai Life）、泰狮航空（Lion Air Group）、泰国考勤系统云服务商（TAT）、泰国IT无限公众有限公司（Advice）、泰国Bossup解决方案有限公司（SSO Connect Mobile）、泰国王权国际集团（King Power）、泰国尚泰百货有限公司（Central App - Shopping Online）、东南亚电子商务平台（Shopee TH）、东南亚生活服务应用（Grab）、秘鲁银行（BANCO DE COMERCIO）、秘鲁国家海关税务总署（Sunat）、菲律宾电信公司（DITO）。

伪装应用图标如下图：

对监控到的家族样本所伪装的应用使用地区进行样本量统计分析发现，主要地区为泰国，占比91.33%，需要说明的是，此项包含跨国应用泰国分部相关的应用，如Shopee TH；其次是东南亚地区，占比4.67%，虽然应用使用地区为东南亚，但不排除针对泰国；然后是秘鲁和菲律宾，占比分别为3.33%和0.67%，其投放应用时间在2022年11月至2023年3月间，怀疑其为市场拓展的测试应用，样本量较少且近期未发现新的样本。

对伪装成泰国的应用进行样本量行业分布统计分析，发现其主要针对泰国政府机构，占比65.69%，如法院、土地部、电力局和税务局等； 其次是科技企业，占比10.22%；然后是生活购物，占比8.76%，且伪装应用均为泰国头部生活服务应用；接着是银行，占比6.57%；再者是保险，占比5.11%；最后是航空，占比3.65%。

家族演变

自2022年7月投放以来，恶意软件家族进行了频繁的演变，依托奇安信QADE引擎的强大恶意软件分析和数据挖掘能力，我们对家族演变的关键节点进行分析，这些演变或为了对抗安全检测，或为了升级其功能。

演变过程中涉及的关键变种版本信息介绍如下：

1 单一版恶意软件，该版本集成了所有主要的RAT功能，使用CN:gigabud证书进行签署。

2 动态加载版本，该版本采用动态加载技术，加载恶意代码，以升级其功能和对比安全检测。

3 动态安装版本，该版本是上一版的升级版本，会安装额外的恶意代码，并隐藏其启动图标和保持设备服务的唤醒状态。

家族演变时间轴如图：

强调说明的是，在最新家族演变节点中，为了进一步对抗安全检测，增加样本聚类关联的难度，恶意软件不再像以往一样同一证书签署大量样本，而是采用证书与样本一对一的形式签署，或是只改变了签署的私钥而使用同一注册信息。示例如下表：

检测对抗

恶意软件为规避安全检测，不断进行对抗升级，2023年1月Cyble发布分析报告前，还没有防病毒软件检测到此恶意软件，之后众多安全厂商升级了病毒库，对其进行了识别，但随之恶意软件也进行了升级，相继发布了多个版本，在此次报告发布前，最新家族版本仍然只有少数防病毒软件检测到其恶意行为。

奇安信QADE引擎是首款既支持对APP进行传统恶意样本高中低风险检测，又支持对非法索权和超范围采集两大类合规化问题进行检测的综合一体化动态自动引擎。目前已支持对恶意软件家族所有版本的识别，示例样本检测结果如下：

第三章 样本分析

此篇报告中，我们以较新版本动态安装版本为例进行分析，其中直接投放诱导受害者安装的恶意软件为主软件，主要负责远控功能实现；而其动态加载安装的应用我们称为“AddOnAPP”，主要负责滥用辅助功能信息窃取和保活功能实现。通过对其家族样本的大量分析发现，此家族伪装成各个机构的应用，并伪造登录钓鱼页面，其内部并不具备对应官方应用的相关功能，具备普通钓鱼恶意软件的特征；其恶意行为主要为屏幕录制，发送短信，伪造目标银行钓鱼弹窗和滥用辅助功能等，又具备BankerRAT恶意软件的特征，所以我们怀疑其为针对精准用户的复杂的远控恶意软件。

在这里我们选取了一个伪装成“SmartLands”应用的恶意软件进行技术分析。“SmartLands”是泰国土地部下属的内政部为了人民解决土地问题而开发的应用，其作为联系各种服务和关注土地部新闻的方式，土地部已编制多达18 种不同的土地相关服务，例如预约预登记、搜索地块图片(LandsMaps)、查看估价和税收计算等。

启动

受害者安装恶意软件后，首先看到的即是登录页面，而官方应用则是可以游客模式进入应用主页面的，恶意软件与官方应用首页对比如下：

登录

在对恶意软件进行测试时，使用不同的账户和电话进行多次登录尝试，都无法认证通过，其在服务器端进行了账户校验，或许为精准目标的账户信息库校验，或许为“SmartLands”应用的真实账户校验。测试账户认证失败协议解析响应如下：

如果账户认证通过的情况下，就会要求受害者提供登录密码和安全密码，输入界面如下：

开启OpenService服务

受害者成功登录恶意软件后，就会上传设备已安装应用列表，然后开启主要服务OpenService。

索权&AddOnAPP安装

受害者成功登录后，会诱导点击激活应用，选择激活后，诱导授予3个恶意软件运行的核心权限：辅助功能权限、录像权限和悬浮窗权限，诱导受害者激活和授权的界面如下：

在受害者点击授予“辅助功能权限”时，会执行“AddOnAPP”的安装操作，安装成功后会申请辅助功能权限，界面如下：

加载安装AddOnAPP的源码如下：

011

远控功能

成功安装AddOnAPP后，主应用就进入一个类似“待机”的最终页面，等待OpenService服务接收远控指令，结合全局广播GlobalBroadcast，执行诸如发送短信、屏幕录制、窃取信息、控制设备和开启悬浮窗等功能。主要远控功能源码示例如下。

1、静默设置系统铃声静音，方便隐藏其恶意行为：

2、向指定目标发送特定短信：

3、动态下发Action执行相应指令操作：

4、显示目标银行钓鱼悬浮窗：

5、屏幕录制：

6、其他通过全局广播GlobalBroadcast执行的功能：

AddOn APP主要功能

AddOnAPP为无启动图标应用，主要是借助辅助功能权限执行相应恶意操作，并保持受害者设备处于唤醒状态和服务处于存活状态。其主要功能如下。

1、绑定OpenService服务

AddOnAPP被安装开启后，首要任务就是绑定主应用的主服务OpenService，代码如下：

2、注册receiver保活和唤醒服务

除了主应用中的心跳机制，AddOnAPP会注册众多的receiver守护应用的存活，代码如下：

3、设置剪切板内容

设置剪切板内容为远程下发的银行卡号，代码如下：

第四章 情报分析

恶意软件家族早期样本大量使用了证书名“CN:gigabud”的证书签名，在样本的拓展关联阶段，依赖我们强大的数据能力获得了300+相关样本，对关联样本分析时发现，有部分样本访问了“gigabud.com”主机地址，这与样本证书名不谋而后，该站首页如下：

该站是一家应用程序解决方案服务商，可以为客户提供Android，iOS，Web端等平台的专业化的解决方案和技术支持，客户案例中涉及语言学习、社交平台、效率工具和益智游戏等。而其中的一些Android平台案例应用与证书gigabud的关联样本一致，如学习中文的应用WCC繁简宝等，writtenchinese官网介绍如下：

经过我们的进一步分析，发现所有集成了RAT的家族样本有一个特点：所有的签名均从V2版本开始，而含V1签名的样本则不具备相关RAT功能，结合其他样本开发特征，我们判定其具有不同的开发环境。最后综合其他情报特征，目前并不能判定此恶意软件家族与gigabud站点存在关联，我们怀疑可能存在证书泄露的情况。