Domestic Kitten-kampagne, der spionerer på iranske borgere med ny FurBall-malware

ESET-forskere har for nylig identificeret en ny version af Android-malwaren FurBall, der bliver brugt i en Domestic Kitten-kampagne udført af APT-C-50-gruppen. Domestic Kitten-kampagnen er kendt for at udføre mobile overvågningsoperationer mod iranske borgere, og denne nye FurBall-version er ikke anderledes i sin målretning. Siden juni 2021 er den blevet distribueret som en oversættelsesapp via en kopi af en iransk hjemmeside, der leverer oversatte artikler, tidsskrifter og bøger. Den ondsindede app blev uploadet til VirusTotal, hvor den udløste en af ​​vores YARA-regler (bruges til at klassificere og identificere malware-prøver), hvilket gav os mulighed for at analysere den.

Denne version af FurBall har samme overvågningsfunktionalitet som tidligere versioner; dog tilslørede trusselsaktørerne en smule klasse- og metodenavne, strenge, logfiler og server-URI'er. Denne opdatering krævede også små ændringer på C&C-serveren – præcist navne på serverside PHP-scripts. Da funktionaliteten af ​​denne variant ikke er ændret, ser hovedformålet med denne opdatering ud til at være at undgå registrering af sikkerhedssoftware. Disse ændringer har dog ikke haft nogen effekt på ESET-software; ESET-produkter registrerer denne trussel som Android/Spy.Agent.BWS.

Den analyserede prøve anmoder kun om én påtrængende tilladelse – at få adgang til kontakter. Årsagen kunne være dets mål at holde sig under radaren; på den anden side tror vi også, at det kan signalere, at det kun er den foregående fase, af et spearphishing-angreb udført via tekstbeskeder. Hvis trusselsaktøren udvider app-tilladelserne, vil den også være i stand til at eksfiltrere andre typer data fra berørte telefoner, såsom SMS-beskeder, enhedsplacering, optagede telefonopkald og meget mere.

Oversigt over Tamkillinger

APT-C-50-gruppen har i sin Domestic Kitten-kampagne gennemført mobile overvågningsoperationer mod iranske borgere siden 2016, som rapporteret af Check Point i 2018. I 2019, Trend Micro identificerede en ondsindet kampagne, muligvis forbundet med Domestic Kitten, rettet mod Mellemøsten, og navngav kampagnen Bouncing Golf. Kort efter, samme år, Qianxin rapporterede en Domestic Kitten-kampagne igen rettet mod Iran. I 2020, 360 Kernesikkerhed afslørede overvågningsaktiviteter af Domestic Kitten rettet mod anti-regeringsgrupper i Mellemøsten. Den sidste kendte offentligt tilgængelige rapport er fra 2021 af Check Point.

FurBall – Android-malware brugt i denne operation siden disse kampagner startede – er skabt baseret på det kommercielle stalkerware-værktøj KidLogger. Det ser ud til, at FurBall-udviklerne var inspireret af open source-versionen fra syv år siden, der er tilgængelig på Github, som påpeget af Check Point.

Distribution

Denne ondsindede Android-applikation leveres via et falsk websted, der efterligner et legitimt websted, der leverer artikler og bøger oversat fra engelsk til persisk (downloadmaghaleh.com). Baseret på kontaktoplysningerne fra den legitime hjemmeside, leverer de denne service fra Iran, hvilket får os til at tro med stor tillid til, at copycat-webstedet er rettet mod iranske borgere. Formålet med copycat er at tilbyde en Android-app til download efter at have klikket på en knap, der siger på persisk "Download applikationen". Knappen har Google Play-logoet, men denne app er det ikke tilgængelig fra Google Play Butik; den downloades direkte fra angriberens server. Appen blev uploadet til VirusTotal, hvor den udløste en af ​​vores YARA-regler.

I figur 1 kan du se en sammenligning af de falske og legitime hjemmesider.

Figur 1. Falsk hjemmeside (venstre) vs. den legitime (højre)

Baseret på sidst ændret information, der er tilgængelig i APK-downloadens åbne mappe på den falske hjemmeside (se figur 2), kan vi udlede, at denne app har været tilgængelig til download i det mindste siden 21. juni^st, 2021.

Analyse

Denne prøve er ikke fuldt fungerende malware, selvom al spyware-funktionalitet er implementeret som i dens tidligere versioner. Ikke al dens spywarefunktionalitet kan dog udføres, fordi appen er begrænset af de tilladelser, der er defineret i dens AndroidManifest.xml. Hvis trusselsaktøren udvider apptilladelserne, vil den også være i stand til at eksfiltrere:

• tekst fra udklipsholder,
• enhedens placering,
• SMS beskeder,
• kontakter,
• opkaldslogger,
• optagede telefonopkald,
• tekst af alle meddelelser fra andre apps,
• enhedskonti,
• liste over filer på enheden,
• kørende apps,
• liste over installerede apps, og
• enhedsoplysninger.

Den kan også modtage kommandoer til at tage billeder og optage video, hvor resultaterne uploades til C&C-serveren. Furball-varianten, der er downloadet fra copycat-webstedet, kan stadig modtage kommandoer fra sin C&C; den kan dog kun udføre disse funktioner:

• eksfiltrere kontaktliste,
• få tilgængelige filer fra eksternt lager,
• liste installerede apps,
• få grundlæggende oplysninger om enheden, og
• få enhedskonti (liste over brugerkonti synkroniseret med enheden).

Figur 3 viser tilladelsesanmodninger, der skal accepteres af brugeren. Disse tilladelser skaber muligvis ikke et indtryk af at være en spyware-app, især i betragtning af, at den optræder som en oversættelsesapp.

Figur 3. Liste over ønskede tilladelser

Efter installationen laver Furball en HTTP-anmodning til sin C&C-server hvert 10. sekund og beder om kommandoer, der skal udføres, som det kan ses i det øverste panel i figur 4. Det nederste panel viser et "der er ikke noget at gøre i øjeblikket"-svar fra C&C-serveren.

Figur 4. Kommunikation med C&C-server

Disse seneste eksempler har ingen nye funktioner implementeret, bortset fra det faktum, at koden har simpel sløring anvendt. Sløring kan ses i klassenavne, metodenavne, nogle strenge, logfiler og server-URI-stier (hvilket også ville have krævet små ændringer på backend). Figur 5 sammenligner klassenavnene på den ældre Furball-version og den nye version med sløring.

Figur 5. Sammenligning af klassenavne på den ældre version (venstre) og den nye version (højre)

Figur 6 og figur 7 viser det tidligere send Post og nye sndPst funktioner, der fremhæver de ændringer, som denne sløring nødvendiggør.

Figur 6. Ældre ikke-obfuscerede version af kode

Figur 7. Den seneste kodesløring

Disse elementære ændringer, på grund af denne simple sløring, resulterede i færre registreringer på VirusTotal. Vi sammenlignede detektionsraterne for prøven opdaget af Check Point fra februar 2021 (Figur 8) med den slørede version tilgængelig siden juni 2021 (Figur 9).

Figur 8. Ikke-tilsløret version af malware opdaget af 28/64-motorer

Figur 9. Tilsløret version af malware opdaget af 4/63-motorer, første gang den blev uploadet til VirusTotal

Konklusion

Domestic Kitten-kampagnen er stadig aktiv og bruger copycat-websteder til at målrette mod iranske borgere. Operatørens mål har ændret sig en smule fra at distribuere fuldt udstyret Android-spyware til en lettere variant, som beskrevet ovenfor. Den anmoder kun om én påtrængende tilladelse – at få adgang til kontakter – højst sandsynligt for at forblive under radaren og ikke tiltrække mistanke fra potentielle ofre under installationsprocessen. Dette kan også være den første fase af indsamling af kontakter, der kunne blive efterfulgt af spearphishing via tekstbeskeder.

Udover at reducere dens aktive app-funktionalitet, forsøgte malware-forfatterne at reducere antallet af detektioner ved at implementere et simpelt kodeforvirringsskema for at skjule deres intentioner fra mobil sikkerhedssoftware.

IoC'er

MITRE ATT&CK teknikker

Dette bord er bygget vha udgave 10 af ATT&CK-rammerne.