在海量信息的面前，我们很容易不知道该从何下手，这时，有见地的和独立的开源智能(OSINT)分析就显得尤为重要，还要鸟瞰新兴的安全威胁，拥有充足的预见性和防御意识。本文来自Dancho Danchev的博客——信息安全知识的心灵流，该博客涵盖了最新的安全趋势和潮流，战术和战略，并与第三方的研究、推测和实时的CYBERINT评估相结合，其中不乏讽刺的审视。

恶意移动端软件被拦截，成千上万的用户受影响

我们最近又拦截了一款恶意软件，此移动端恶意软件影响到Google Play商店，使得用户暴露在大量的恶意软件面前。

在这篇博客中，我们将对此次攻击涉及到的恶意MD5进行分析和描述，揭露其背后的工具和方法，并深入探讨这次事件背后的网络犯罪分子的战术、技术和程序。

已知的和此次攻击事件有关的恶意MD5：

MD5: 1c87344c24d8316c8f408a6f0396aa43

MD5: 390e66ffaccaa557a8d5c43c8f3a20a9

MD5: 8e2f8c52f4bb8a4e7f8393aa4a0536e1

MD5: ada4b19d5348fecffd8e864e506c5a72

一旦被执行，一个恶意软件样本就会从同一C&C服务器端被下载到用户的手机上：

hxxp://telbux.pw - 176.9.138.114

已知的从同一个C&C服务器IP(176.9.138.114)被下载的恶意MD5：

MD5: f8471c153414b65bbeb80880dc30da0a

MD5: 5955411fe84c10fa6af7e40bf40dcdac

MD5: ec3e5125190d76c19ca1c0c9172ac930

MD5: 0551f10503369f12cd975468bff6d16a

MD5: 1127390826a9409f6fd7ad99c4d4af18

一旦被执行，一个恶意软件样本就会被手机发送回以下的C&C服务器地址：

hxxp://144.76.70.213

hxxp://joyappstech.biz - 136.243.240.229

我们会继续更新相关的消息。

5.17日更新：

已知的和此次攻击事件有关的恶意MD5：

MD5: 27ad60e62ff86534c0a9331e9451833d

MD5: 78fbac978d9138651678eb63e7dfd998

和此次攻击事件有关的恶意C&C服务器：

hxxp://apk.longxigame.com - 123.138.67.91; 106.119.191.98

已知的从同一个C&C服务器IP(123.138.67.91)被下载的恶意MD5如下所示：

MD5: a6c9a8cfa41b608573f8a9adf767daa0

MD5: a5d98369590bd2e001ac3e2986b3d7e9

MD5: 8c5e6c7bc945877740f10e91e9640f70

MD5: e82c58593e787193b5e19810b7ab504e

MD5: 814d7d6701f00c7b96c7026b5561911c

已知的响应同一恶意C&C服务器( apk.longxigame.com)的域如下所示：

hxxp://103.243.139.241

hxxp://113.105.245.118

hxxp://183.61.13.192

hxxp://183.61.180.216

hxxp://183.61.180.217

hxxp://106.119.191.98

hxxp://221.233.135.196

hxxp://218.60.119.245

hxxp://218.60.119.30

hxxp://118.123.202.27

hxxp://118.123.202.28

hxxp://218.60.119.244

hxxp://119.84.112.118

hxxp://119.84.112.121

hxxp://220.181.105.232

hxxp://27.221.30.76

hxxp://220.181.105.231

hxxp://27.221.30.77

hxxp://60.2.226.246

hxxp://60.2.226.248

hxxp://121.29.8.235

hxxp://60.28.226.51

hxxp://116.55.241.217

hxxp://124.95.157.252

hxxp://124.160.136.232

hxxp://124.160.136.233

hxxp://218.60.119.243

hxxp://218.60.119.252

hxxp://218.60.119.29

hxxp://122.225.34.233

hxxp://122.225.34.234

hxxp://171.111.154.243

hxxp://124.95.157.253

hxxp://202.100.74.248

hxxp://221.204.186.231

hxxp://221.204.186.232

hxxp://182.140.238.123

hxxp://218.107.196.223

hxxp://218.107.196.224

hxxp://122.227.164.225

hxxp://122.227.164.226

hxxp://122.228.95.171

hxxp://122.228.95.172

hxxp://123.129.244.23

hxxp://123.129.244.24

hxxp://210.22.60.224

hxxp://125.76.247.230

hxxp://125.76.247.231

hxxp://42.81.4.91

hxxp://42.81.4.92

hxxp://117.25.155.17

hxxp://61.154.126.29

hxxp://116.55.241.218

hxxp://106.119.191.97

hxxp://171.111.154.242

hxxp://180.96.17.157

hxxp://180.96.17.160

hxxp://117.25.155.18

hxxp://121.207.229.135

hxxp://61.154.126.28

hxxp://121.207.229.136

hxxp://222.85.26.249

hxxp://222.85.26.250

hxxp://59.46.4.221

hxxp://59.46.4.222

hxxp://183.61.13.191

hxxp://103.243.139.239

hxxp://122.141.227.183

hxxp://114.80.174.98

hxxp://114.80.174.99

hxxp://202.100.74.245

hxxp://58.216.17.111

hxxp://175.6.3.149

hxxp://175.6.3.176

hxxp://61.147.118.229

hxxp://60.28.226.41

hxxp://124.112.127.77

hxxp://124.112.127.78

hxxp://124.238.232.242

hxxp://124.238.232.241

hxxp://112.90.32.242

hxxp://112.90.32.241

hxxp://123.138.67.91

hxxp://123.138.67.92

hxxp://122.141.227.182

hxxp://121.29.8.217

hxxp://42.81.4.83

hxxp://218.107.196.236

hxxp://112.67.242.110

hxxp://112.90.32.232

已知的被手机发送回同一C&C服务器( 123.138.67.91)的恶意MD5如下所示：

MD5: 4efbe7fe86f63530d83ae7af5a3dc272

MD5: d8a3466addf81f2afeb2ca81c49d7361

MD5: 06e37b0c4a77bfa6a1052c4dd50afd9b

MD5: ed89d5977e334045500d0415154976b6

一旦被执行，一个恶意软件样本就会被手机发送回以下的C&C服务器地址：

hxxp://api.baizhu.cc - 120.76.122.200

hxxp://cdn.baizhu.cc - 123.138.67.91

hxxp://yscq.v1game.cn (203.130.58.30)

hxxp://pic.v1.cn (123.138.67.92)

hxxp://img.g.v1.cn (203.130.58.30)

hxxp://static.v1game.cn (203.130.58.30)

hxxp://pay.v1game.cn (211.151.85.249)

原文链接：http://ddanchev.blogspot.tw/2016/05/mobile-malware-intercepted-thousands-of_74.html

(责任编辑：安博涛)