双尾蝎（奇安信内部跟踪编号：APT-Q-63）是一个长期针对中东地区的高级持续威胁组织，其最早于2017年被披露。该组织至少自2016年5月起，持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动，以窃取敏感信息为主的网络攻击组织，开展了有组织，有计划，有针对性的攻击。其攻击行业包括基础设施，国防、教育、政府、媒体、交通等。攻击的国家包括但不限于美国，韩国，巴勒斯坦，日本，瑞典、以色列等。

双尾蝎的Android端攻击非常活跃，恶意样本具有高隐匿和强远控的特点，一直备受我们的关注。其在Android端的攻击主要采用伪装成聊天软件的方式进行投递和诱导安装，而在受害者设备上则通过隐藏图标、变换为Google全家桶图标和安装官方聊天软件等手段进行隐匿和持久化。

近日，奇安信病毒响应中心移动安全团队捕获到该组织一款新型恶意样本，其在使用经典武器库的同时，集成了最新的开源Android RAT武器库，借助SMS和FCM服务，实现了复合型的更强的远程控制功能。

MobiHok属于经典的Android RAT武器，此恶意样本使用了最新的V6版本，新增了截屏相关的功能。此模块采用SMS下发指令，默认C&C地址为http://www.mobihok.net/ch/ch2.php?ssl=OEWM63UXM5P3LQREFS2EQ7F80VKNJK。

远控指令功能列表如下：

JW是一个目前未知的Android RAT武器，具有丰富的恶意行为功能。此模块采用FCM下发指令，C&C地址为https://donald-grigg.site/api/FZnW8Y。

远控指令功能列表如下：

VolatileVenom是该组织旧版样本所使用的武器,此处用于总结和对比，主要也是通过SMS和FCM下发指令。

SMS远控指令功能列表如下：

FCM远控指令功能列表如下：

双尾蝎组织在Android端的攻击方式主要是伪装为聊天软件和升级工具，且其使用Google Cloud时会创建其伪装的目标聊天软件项目，以便于管理。此新型恶意样本伪装的目标聊天软件项目为BOTIM，它是一款高清视频通话和短信应用，GP下载量5000万+。

恶意样本同家族样本于2021年11月由其他安全厂商进行过披露，具有相同的隐藏机制和远程控制命令代码，部分远控功能代码如下图所示：