360烽火实验室披露了一起APT-C-56（透明部落）组织伪装成聊天软件进行窃密的攻击事件。攻击者通过钓鱼网站分发恶意聊天软件，窃取印度军事部门、农业部门和航空服务部门等人员的敏感信息。该恶意软件具备窃取联系人、通话记录、短信和WhatsApp媒体文件等功能。研究人员通过对样本、C&C服务器和受害者数据的分析，确认了该攻击活动与透明部落组织的关联。文章还强调了攻击者在移动端攻击中利用聊天软件的趋势。

📱攻击者利用伪装成Google Play页面的钓鱼网站，诱导用户下载恶意聊天软件Vibe，从而窃取用户设备中的敏感信息，包括联系人、通话记录、短信等。

🕵️‍♀️通过分析恶意软件的C&C服务器信息，发现其开发者可能位于巴基斯坦，且C&C服务器IP与巴基斯坦多个官方网站域名解析的IP位于同一网段，增强了攻击来源的推测。

🔍研究人员在受害者设备中发现了与透明部落组织相关的CapraRAT家族移动端RAT样本，并在样本投递地址中发现了该家族的另一样本，进一步证实了本次攻击与透明部落组织的关联。

🛡️该恶意软件通过控制敏感行为和权限数量，使其恶意功能更贴近聊天软件，增强了免杀效果，表明APT组织在移动端攻击中趋向于精简化，以提高隐蔽性和持久性。

原创 360烽火实验室 2025-04-27 18:44 北京

我们在2023年8月发现了一起伪装成聊天软件进行窃密活动的攻击事件，并持续跟踪至今。攻击者使用伪装成Google Play页面的钓鱼网站来分发恶意聊天软件

APT-C-56

  透明部落

在移动端的APT攻击中，攻击者通常倾向于利用私密聊天软件作为诱饵进行窃密行动。这类聊天软件声称能够加密通信，提供更高的保密性，以满足特定人群的需求。同时，聊天软件通常要求访问各种敏感权限，伪装成聊天软件可以有效降低用户的警觉性。

APT-C-56（透明部落）是南亚一个具有政府背景的高级持续性威胁组织，其长期针对周边国家和地区的军队和政府机构实施定向攻击，目的是收集各类情报。

我们在2023年8月发现了一起伪装成聊天软件进行窃密活动的攻击事件，并持续跟踪至今。攻击者使用伪装成Google Play页面的钓鱼网站来分发恶意聊天软件。通过对服务器数据和受害者数据的分析，我们发现，受害者群体包括印度军事部门、农业部门和航空服务部门等人员。通过资产关联和TTP分析我们推测，本次事件的攻击者可能属于透明部落组织。

 一、受影响情况 

通过对受害者数据创建时间的分析，我们推测此次攻击活动至少开始于2023年6月甚至更前的时间，并持续至今。这些数据共涉及了六十多台不同受害者设备。这是首次发现透明部落组织针对农业和航空相关人员发起的移动端攻击。

 二、攻击活动分析 

1.载荷投递分析

在此次攻击活动中，攻击者利用多个钓鱼网站进行载荷投递。尽管钓鱼网站使用了不同的钓鱼域名，但所有网站均伪装成同一聊天应用的虚假Google Play官方下载页面，并且下载的是同一个恶意样本。

钓鱼网站地址	样本下载地址
http://www.vibechatt[.]chat/	https://vibechatt[.]chat/play-store-app/Vibe.apk
http://signalchat[.]chat/vibechatt.chat/play-store-app	http://signalchat[.]chat/vibechatt.chat/play-store-app/Vibe.apk
http://www.vibechatt.signalchat[.]chat/play-store-app	http://www.vibechatt.signalchat[.]chat/play-store-app/Vibe.apk
http://signalchat[.]chat/vibechatt.chat	https://vibechatt[.]chat/play-store-app/Vibe.apk

图1 伪装成Google Play官方下载页面

图2 存储样本的目录

2.攻击样本分析

在本次攻击活动中，攻击者创建了一款名为Vibe的带有窃密功能的恶意聊天应用程序。该聊天应用的部分聊天功能和窃密功能使用的是同一个服务器地址，在聊天功能中还使用了Firebase Realtime Database（实时数据库）进行数据存储。

恶意聊天应用的聊天功能和窃密功能并非独立的模块，而是集成在同一个类中，这表明该应用很可能是由开发者独立开发。

图3 应用欢迎界面

基于应用使用的Firebase数据库地址，我们将此新恶意家族命名为Dcpro。该家族仅具备少量的基本信息窃取功能，包含的恶意功能如下：

窃取联系人

窃取通话记录

窃取短信

窃取指定WhatsApp目录媒体文件

窃取设备外部存储文件

图4 主要的功能类

图5 窃取指定WhatsApp目录媒体文件

在分析样本过程中发现，样本的自更新地址和其下载地址不同，使用了新的地址进行应用自更新。

图6 应用的自更新

 三、归属研判 

1.C&C服务器

通过溯源样本C&C信息，我们发现开发者设置的默认时区是巴基斯坦的卡拉奇，由此推测开发者可能位于巴基斯坦。

图7 设置时区

2.网络资产

样本的C&C和下载、更新地址解析的IP位于同一个网段内，其中C&C解析的IP（95.217.147.103）也被巴基斯坦的多个大学、企业等官方网站的域名解析。

类别	域名	解析IP
样本C&C	Waqarawan[.]xyz	95.217.147[.]103
更新地址	Honeybeechatt[.]com	95.217.147[.]100
下载地址	Vibechatt[.]chat	95.217.147[.]100

3.泄露数据关联

对受害者数据进行画像分析发现，受害者多数是印度军事相关人员。在泄露数据中我们还发现了一个疑似攻击者的设备，该设备上存在一个名称为“y.apk”的文件，该文件属于透明部落组织CapraRAT家族移动端RAT样本。

图8 疑似攻击者设备中的文件

4.载荷投递关联

在同家族样本的某个投递地址下，我们发现了一个名称为“ynjhjhgfdt.apk”的APK文件，该文件也属于透明部落组织CapraRAT恶意家族。

图9 投递地址下CapraRAT家族样本

基于以上四方面信息以及结合透明部落组织的归属和攻击目标，我们将本次攻击活动归因于透明部落组织。

总结

聊天软件以其独特的“魅力”持续吸引着众多攻击组织的青睐，借助聊天软件，攻击者不仅可以轻松获取受害者的各类隐私数据，更能很好的隐藏自己的恶意功能不被发现，达到持久攻击的目的。

与大多数APT攻击样本不同的是，本次攻击事件使用的样本明显控制了敏感行为和敏感权限数量，使其恶意功能更贴近于聊天软件，在免杀效果上也有了明显提升。这和我们之前发现的该组织使用RlmRat精简版进行的攻击活动有异曲同工之妙，可见透明部落组织未来在移动端的攻击可能会更加倾向于精简化。

附录 IOC

7508dd2a6f8a6b051c12fa6fb257f1ab

291b7062cfe987973b24f42a229153ab

c6756f595ef16e6e8f2a49c251a75bc4

fc54078c5ae26d856109d306c37909ae

72900574563dfef2e30eb17229b8831c

waqarawan[.]xyz

www.ghmeetag[.]xyz

syntheticschoolsystem[.]com

http://www.vibechatt[.]chat

http://signalchat[.]chat/vibechatt.chat/play-store-app

http://www.vibechatt.signalchat[.]chat/play-store-app

http://signalchat[.]chat/vibechatt.chat

https://vibechatt[.]chat/play-store-app/Vibe.apk

http://signalchat[.]chat/vibechatt.chat/play-store-app/Vibe.apk

http://www.vibechatt.signalchat[.]chat/play-store-app/Vibe.apk

https://www.honeybeechatt[.]com/play-store-app/updatee.apk

https://vibechatt[.]com/play-store-app/VibeApp.apk

团队介绍

TEAM INTRODUCTION

360烽火实验室

360烽火实验室致力于移动恶意软件分析、移动灰黑产研究、移动威胁预警、移动APT的发现与追踪等移动安全领域的深入研究。作为全球顶级移动安全生态研究实验室，360烽火实验室在全球范围内不仅首发了多篇具备国际影响力的移动安全生态研究成果，并且成功狩猎了蔓灵花、拍拍熊等多个APT组织针对我国及境外重要目标的攻击活动。实验室在为360手机卫士、360手机助手、360加固保等公司产品提供核心安全数据的同时，也为科研单位、手机厂商、应用商店及上百家国内外合作伙伴提供了移动应用安全检测服务，全方位守护移动安全。

阅读原文

跳转微信打开