APT攻擊已經(jīng)不是什么新鮮事，但是以前一直是針對(duì)Windows和Mac OS X等平臺(tái)的攻擊，近日，卡巴斯基實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)一次APT攻擊，利用Android平臺(tái)木馬來進(jìn)行攻擊。

郵件內(nèi)容上面提到了在日內(nèi)瓦舉行的一個(gè)人權(quán)會(huì)議，當(dāng)該Android包一旦被用戶安裝，名為Conference的應(yīng)用程序會(huì)在Android桌面上顯示。如下圖：

??

如果受害者執(zhí)行該程序之后，會(huì)彈出“Dolkun lsa Chairman of the Executive Committee Word Uyghur Congress”文本，這里寫程序的碼工又開小差了，World寫成了Word，該扣工資了。

接下來惡意軟件會(huì)竊取手機(jī)上的聯(lián)系人、通話記錄、短信、地理位置和其他的一些手機(jī)數(shù)據(jù)，如OS版本、手機(jī)型號(hào)、SDK版本等，然后傳送到架設(shè)在美國洛杉磯的C&C服務(wù)器。

按惡意軟件的流程來走的話，數(shù)據(jù)應(yīng)該傳送到遠(yuǎn)端C&C服務(wù)器上去，但是奇怪的是，研究人員發(fā)現(xiàn)該軟件沒有發(fā)送這些數(shù)據(jù)?？ò退够芯吭罕硎?，該版本可能僅僅是一個(gè)早期原型版本，只用于調(diào)試目的。

卡巴斯基研究人員還在C&C服務(wù)器的IP地址上發(fā)現(xiàn)了一個(gè)域名，“DlmDocumentsExchange.com”。注冊(cè)時(shí)間是2013年3月8日，注冊(cè)名是“peng jia”，（賈鵬？），注冊(cè)郵箱是bdoufwke123010@gmail.com。

??

另外一個(gè)有趣的是，在DlmDocumentsExchange.com源碼里發(fā)現(xiàn)如下代碼：

??

其中引用的Document.apk有333583字節(jié)大小，MD5值為c4c4077e9449147d754afd972e247efc，該APK功能和Conference.apk一樣，但是包含不同的文本內(nèi)容，新的文本內(nèi)容如下：

??

用瀏覽器打開IP64.78.161.133發(fā)現(xiàn)幾段隨機(jī)的字符串，如下：

??

連接到該IP的遠(yuǎn)程桌面，界面語言為中文，卡巴斯基表示，攻擊者可能來自中國，如下：

??