大约在2016年7月，100多名以色列士兵的Android手机被敌方实施的“网络美人计”给黑掉了，敌方人员在社交媒体上假扮美女，用虚假的照片和个人信息勾引以军士兵。这些军人没有抵挡住“糖衣炮弹”，放松警惕，纷纷下载对方推荐的“冒牌”应用程序，导致手机被黑客控制却全然不知，然后黑客趁机进入他们的命令和控制服务器获取军事机密数据，此外，受感染的设备会被推送木马更新，这允许攻击者扩展他们的攻击能力。截至目前，这项“网络美人计”的网络攻击活动仍然非常活跃，最近发生的大规模袭击事件就发生在本月。

安全专家通过研究认为，这种网络攻击目前仍处于早期发展阶段，目标针对于Android操作系统的手机，一旦手机被攻破，那么黑客就会开始进行复杂的情报收集，比如利用电话的视频和音频功能，短信功能和位置定位服务。

以色列国防军的C4I通信部队（IDF C4I）和以色列国防军的信息安全部门与卡巴斯基实验室的研究人员通过对被攻击士兵的名单进行分析。

攻击流程

社会工程攻击

社会工程学，准确来说，不是一门科学，而是一门艺术。近年来，更多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段，突破信息安全防御措施的事件，已经呈现出上升甚至泛滥的趋势。

Gartner集团信息安全与风险研究主任Rich Mogull认为：

社会工程学是未来10年最大的安全风险，许多破坏力最大的行为是由于社会工程学而不是黑客或破坏行为造成的。

比如本文所讲的攻击就是利用色情诱惑，黑客化身Facebook上的“美女”使用性暗示来诱骗以色列士兵，要求他们发送照片给黑客，然后在聊天的过程中，诱骗士兵们安装恶意应用程序，进而获取机密信息。

Dropper木马

当那些上当的士兵从恶意URL下载APK文件后，攻击者希望受害者能手动安装软件包。因为Dropper木马攻击需要利用用户的常用权限，如下面的屏幕截图所示。

主要特征

Dropper攻击依赖于使用查询的配置服务器，以便为要攻击的设备下载最合适的有效载荷。

主要有效载荷的Downloader & Watchdog。
有效载荷更新机制。
定制化载荷：Dropper木马会发送已安装应用程序的列表，并接收基于它的有效负载包。
混淆部件 ：使用ProGuard（一个压缩、优化和混淆Java字节码文件的免费的工具）模糊dropper攻击包。

网络协议

dropper 和配置服务器之间的网络协议是基于HTTP POST请求的。以下的服务器实现了RESTful API：

LoveSongs - http：// endpointup [。] com / update / upfolder / updatefun.php
YeeCall，WowoMessanger - http：// droidback [。] com / pockemon / squirtle / functions.php

除了使用AES-128硬编码密钥加密的特定命令之外，与服务器的大多数通信是明文的。

除了对ID检查外，dropper 还会往感染的手机上发送已安装应用的列表。dropper 不同变体之间的攻击流程都是类似的，比如一个dropper 变体会把自己隐藏在YouTube播放器中，而另一个变体则是隐藏在聊天应用中。

有效载荷

在受害者设备上下载并执行上述有效载荷之后。到目前为止，安全专家们发现目前唯一有效的是“WhatsApp_Update”。有效载荷要能够同时具有两种收集机制：

执行“On demand”命令： 由黑客触发的手动命令
Scheduled process  ： 定期从被感染手机收集信息的计划

C＆C命令

WebSocket 是伴随HTML5发布的一种新协议。它实现了浏览器与服务器全双工通信(full-duplex)，可以传输基于消息的文本和二进制数据。WebSocket 是浏览器中最靠近套接字的API，除最初建立连接时需要借助于现有的HTTP协议，其他时候直接基于TCP完成通信。

有效载荷使用WebSocket协议，它能给予攻击者一个实时接口，以类似于“reverse shell”的方式向有效载荷发送命令，Reverse Shell是由被攻击主机主动连接攻击机器，是目前主流的Shell使用的类型,其中些命令尚未实现，如下表所示。这些命令给黑客的操作提供了基本而又危险的一个远程访问程序（RAT）能力：

收集有关设备的一般信息，例如网络运营商，GPS位置，IMEI等
打开浏览器并浏览到所选的URL
读取和发送SMS消息，以及访问联系人
在特定的时间和期间进行窃听
允许使用相机拍摄照片或截图
录制视频和音频

计划过程

除了C＆C命令，有效负载使用各种Android API定期收集数据。默认时间间隔为30秒。该过程收集的数据包括：

有关设备的一般数据（如C＆C命令中需要的那些信息）
SMS消息，WhatsApp数据库以及加密密钥
浏览和搜索历史以及书签
存储中找到的小于2MB的文档和存档（doc，docx，ppt，rar等）
拍摄的照片
联系人和通话记录列表
记录呼叫信息并进行窃听
各种应用的更新

攻击者在没有任何第三方协助的情况下实现了所有的恶意攻击。自动呼叫记录功能背后的逻辑完全使用Android的API实现，如下图所示：

结论

以色列国防军与卡巴斯基实验室的研究人员一起领导了本次研究，结论就是利用美人计所实施的攻击只是敌方针对以军进行网络攻击的开始，其最终的攻击目标是针对以色列国防军的攻击，收集关于地面部队传播的所有数据，以及军队正在使用的战术和武器装备以及实时的情报收集。

IOCs

androidbak[.]com
droidback[.]com
endpointup[.]com
siteanalysto[.]com
goodydaddy[.]com
10f27d243adb082ce0f842c7a4a3784b01f7248e
b8237782486a26d5397b75eeea7354a777bff63a
09c3af7b0a6957d5c7c80f67ab3b9cd8bef88813
9b923303f580c999f0fdc25cad600dd3550fe4e0
0b58c883efe44ff010fl703db00c9ff4645b59df
0a5dc47b06de545d8236d70efee801ca573115e7
782a0e5208c3d9e8942b928857a24183655e7470
5f71a8a50964dae688404ce8b3fbd83d6e36e5cd
03b404c8f4ead4aa3970b26eeeb268c594blbb47

Certificates – SHA1 fingerprints

10:EB:7D:03:2A:B9:15:32:8F:BF:68:37:C6:07:45:FB:DF:F1:87:A6 
9E:52:71:F3:D2:1D:C3:22:28:CB:50:C7:33:05:E3:DE:01:EB:CB:03 
44:52:E6:4C:97:4B:6D:6A:7C:40:AD:1E:E0:17:08:33:87:AA:09:09 
67:43:9B:EE:39:81:F3:5E:10:33:C9:7A:D9:4F:3A:73:3B:B0:CF:0A 
89:C8:E2:E3:4A:23:3C:A0:54:A0:4A:53:D6:56:C8:2D:4A:8D:80:56 
B4:D5:0C:8B:73:CB:A9:06:8A:B3:F2:49:35:F8:58:FE:A2:3E:2E:3A