APT-C-35（肚脑虫）组织，又称Donot，是一个针对克什米尔地区相关国家的政府机构等领域进行以窃取敏感信息为主的网络攻击行动的APT攻击组织。该组织具备针对Windows与Android双平台的攻击能力。在针对Android平台的历史攻击活动中，肚脑虫组织多利用钓鱼网站和社交媒体进行网络攻击。

　　360烽火实验监控到一批肚脑虫组织的移动端攻击样本whatsapp说要调整时间，通过对样本进行分析发现，这批样本使用的字符串加密方式以及载荷投递方式均有别于此前的攻击。

　　通过对受害者的地理位置进行分析我们发现，攻击活动受影响的地区主要是孟加拉国和斯里兰卡，受影响的时间范围从2022年6月至2023年2月。

　　第一种方式最常用，通过受害者设备上落地的攻击样本路径可以知道，攻击者通过使用WhatsApp等社交软件直接传输伪装成聊天应用的APK安装包给受害者。

　　借助文档类文件作为诱饵，诱导用户打开后再联网下载其它恶意组件或攻击样本的方式通常是Windows端APT攻击最常用的投递手法。本次肚脑虫组织利用这种方式进行投递，可谓是创新之举。

　　诱饵文件伪装成名称为“草稿”的PDF文档，当用户打开文档后，会直接显示一个提示框，提示用户需要安装一个插件才可查看。攻击者服务器会判断该URL请求端的平台类型，如果不是Android平台，则会返回错误页面，如果是Android平台，则会下载一个名称为PluginL26.9.22.apk（不同时间下载的版本不一样）的伪装成插件的Android安装包，该安装包即为肚脑虫组织专用的Android RAT。

　　肚脑虫组织最新攻击样本与早期攻击样本的恶意功能和云端执行命令完全一致，可以执行云端下发的命令进行录音、上传联系人、通话记录、短信等恶意行为，相关命令和功能如下表。

　　新样本对关键的字符串比如文件名、远控指令等使用了新的编码方式，不再沿用之前base64编码或硬编码的方法，而是采用了AES加密算法对关键的字符串进行加密存放，增加了分析和查杀难度。

　　在针对Android平台的历史攻击活动中，肚脑虫组织多利用钓鱼网站和社交媒体进行网络攻击。而本次我们发现，该组织创新性的使用了PDF诱饵文档下载Android端RAT样本。详细的投递执行过程在前面的章节进行了介绍，这里不再赘述。

　　结合该组织在Windows端和Android端常用投递方式我们推测，本次使用的PDF诱饵文档很可能是通过鱼叉式网络钓鱼邮件或者社交应用进行的传播。

　　360烽火实验室致力于移动恶意软件分析、移动灰黑产研究、移动威胁预警、移动APT的发现与追踪等移动安全领域的深入研究。作为全球顶级移动安全生态研究实验室，360烽火实验室在全球范围内不仅首发了多篇具备国际影响力的移动安全生态研究成果，并且成功狩猎了蔓灵花、拍拍熊等多个APT组织针对我国及境外重要目标的攻击活动。实验室在为360手机卫士、360手机助手、360加固保等公司产品提供核心安全数据的同时，也为科研单位、手机厂商、应用商店及上百家国内外合作伙伴提供了移动应用安全检测服务，全方位守护移动安全