近日，EST 安全团队发布了一篇关于 Android 手机平台上虚假防病毒恶意软件的帖子。根据韩国媒体的报道，有人认为这些恶意软件可能与 123 组织（ Group 123）之间存在某种关联。在深入研究这种关联中，Talos 结合其调查报告以及 123 组织的历史背景，确定了 Android 远程管理工具（RAT）的两种变体： KevDroid 和 PubNubRAT。这两种变体具有相同的功能 ， 即窃取受感染设备上的信息（如联系人、短信和电话历史记录），并记录受害用户的电话。除此之外，两种变体的数据也都是使用 HTTP POST 发送到唯一的命令和控制（C2）服务器上的。

其中一种变体 KevDroid 使用了已知的 Android 漏洞（CVE-2015-3636），以便在受损的 Android 设备上获得 root 访问权限。

而 PubNubRAT（以 Windows 为目标）则是被确认托管在 KevDroid 使用的命令和控制服务器上。该恶意软件专门使用 PubNub 平台作为它的 C2 服务器。PubNub 是一个全球数据流网络（DSN）， 攻击者可以使用 PubNub API 向被攻击的系统发布命令。

Talos 表示他们目前只是大致识别了一些无法可靠确定真正联系的策略、技术和程序要素，还不能够确定这些变体与 123 组织之间的具体关联。

Talos 完整分析报告：

《 Fake AV Investigation Unearths KevDroid, New Android Malware 》

(责任编辑：冬天的宇)