APT攻擊已經(jīng)不是什么新鮮事，但是以前一直是針對Windows和Mac OS X等平臺的攻擊，近日，卡巴斯基實驗室的研究人員發(fā)現(xiàn)一次APT攻擊，利用Android平臺木馬來進行攻擊。

郵件內(nèi)容上面提到了在日內(nèi)瓦舉行的一個人權(quán)會議，當該Android包一旦被用戶安裝，名為Conference的應用程序會在Android桌面上顯示。如下圖：

??

如果受害者執(zhí)行該程序之后，會彈出“Dolkun lsa Chairman of the Executive Committee Word Uyghur Congress”文本，這里寫程序的碼工又開小差了，World寫成了Word，該扣工資了。

接下來惡意軟件會竊取手機上的聯(lián)系人、通話記錄、短信、地理位置和其他的一些手機數(shù)據(jù)，如OS版本、手機型號、SDK版本等，然后傳送到架設(shè)在美國洛杉磯的C&C服務器。

按惡意軟件的流程來走的話，數(shù)據(jù)應該傳送到遠端C&C服務器上去，但是奇怪的是，研究人員發(fā)現(xiàn)該軟件沒有發(fā)送這些數(shù)據(jù)?？ò退够芯吭罕硎荆摪姹究赡軆H僅是一個早期原型版本，只用于調(diào)試目的。

卡巴斯基研究人員還在C&C服務器的IP地址上發(fā)現(xiàn)了一個域名，“DlmDocumentsExchange.com”。注冊時間是2013年3月8日，注冊名是“peng jia”，（賈鵬？），注冊郵箱是bdoufwke123010@gmail.com。

??

另外一個有趣的是，在DlmDocumentsExchange.com源碼里發(fā)現(xiàn)如下代碼：

??

其中引用的Document.apk有333583字節(jié)大小，MD5值為c4c4077e9449147d754afd972e247efc，該APK功能和Conference.apk一樣，但是包含不同的文本內(nèi)容，新的文本內(nèi)容如下：

??

用瀏覽器打開IP64.78.161.133發(fā)現(xiàn)幾段隨機的字符串，如下：

??

連接到該IP的遠程桌面，界面語言為中文，卡巴斯基表示，攻擊者可能來自中國，如下：

??