Domestic Kitten-Kampagne, die iranische Bürger mit neuer FurBall-Malware ausspioniert

ESET-Forscher haben kürzlich eine neue Version der Android-Malware FurBall identifiziert, die in einer von der APT-C-50-Gruppe durchgeführten Domestic Kitten-Kampagne verwendet wird. Die Domestic Kitten-Kampagne ist dafür bekannt, mobile Überwachungsoperationen gegen iranische Bürger durchzuführen, und diese neue FurBall-Version unterscheidet sich nicht in ihrer Ausrichtung. Seit Juni 2021 wird es als Übersetzungs-App über einen Nachahmer einer iranischen Website vertrieben, die übersetzte Artikel, Zeitschriften und Bücher bereitstellt. Die bösartige App wurde auf VirusTotal hochgeladen, wo sie eine unserer YARA-Regeln (zur Klassifizierung und Identifizierung von Malware-Proben) auslöste, was uns die Möglichkeit gab, sie zu analysieren.

Diese Version von FurBall hat die gleiche Überwachungsfunktion wie frühere Versionen; Die Bedrohungsakteure verschleierten jedoch leicht Klassen- und Methodennamen, Zeichenfolgen, Protokolle und Server-URIs. Dieses Update erforderte auch kleine Änderungen auf dem C&C-Server – genauer gesagt Namen von serverseitigen PHP-Skripten. Da sich die Funktionalität dieser Variante nicht geändert hat, scheint der Hauptzweck dieses Updates darin zu bestehen, eine Erkennung durch Sicherheitssoftware zu vermeiden. Diese Änderungen hatten jedoch keine Auswirkungen auf die ESET-Software; ESET-Produkte erkennen diese Bedrohung als Android/Spy.Agent.BWS.

Das analysierte Beispiel fordert nur eine aufdringliche Erlaubnis an – den Zugriff auf Kontakte. Der Grund könnte sein Ziel sein, unter dem Radar zu bleiben; Andererseits glauben wir auch, dass es ein Hinweis darauf sein könnte, dass es sich nur um die vorangehende Phase eines Spearphishing-Angriffs handelt, der über Textnachrichten durchgeführt wird. Wenn der Angreifer die App-Berechtigungen erweitert, wäre er auch in der Lage, andere Arten von Daten von betroffenen Telefonen zu exfiltrieren, wie z. B. SMS-Nachrichten, Gerätestandort, aufgezeichnete Telefonanrufe und vieles mehr.

Überblick über heimische Kätzchen

Die APT-C-50-Gruppe führt im Rahmen ihrer Domestic Kitten-Kampagne seit 2016 mobile Überwachungsoperationen gegen iranische Bürger durch, wie von berichtet Check Point im Jahr 2018. Im Jahr 2019, Trend Micro identifizierte eine böswillige Kampagne, möglicherweise in Verbindung mit Domestic Kitten, die auf den Nahen Osten abzielte und die Kampagne Bouncing Golf nannte. Kurz darauf, im selben Jahr, Qianxin berichtete über eine Domestic Kitten-Kampagne, die erneut auf den Iran abzielte. 2020, 360-Kern-Sicherheit offenbarte Überwachungsaktivitäten von Domestic Kitten, die auf regierungsfeindliche Gruppen im Nahen Osten abzielten. Der letzte bekannte öffentlich verfügbare Bericht stammt aus dem Jahr 2021 Check Point.

FurBall – Android-Malware, die seit Beginn dieser Kampagnen bei dieser Operation verwendet wird – basiert auf dem kommerziellen Stalkerware-Tool KidLogger. Es scheint, dass sich die FurBall-Entwickler von der Open-Source-Version von vor sieben Jahren inspirieren ließen, die auf Github verfügbar ist, wie von betont wurde Check Point.

Vertrieb

Diese bösartige Android-Anwendung wird über eine gefälschte Website bereitgestellt, die eine legitime Website nachahmt, die Artikel und Bücher anbietet, die aus dem Englischen ins Persische übersetzt wurden (downloadmaghaleh.com). Basierend auf den Kontaktinformationen von der legitimen Website bieten sie diesen Service aus dem Iran an, was uns zu der Annahme veranlasst, dass die Nachahmer-Website mit hoher Zuversicht auf iranische Bürger abzielt. Der Zweck des Nachahmers besteht darin, eine Android-App zum Download anzubieten, nachdem auf einen Button geklickt wurde, auf dem auf Persisch „Download the application“ steht. Die Schaltfläche hat das Google Play-Logo, aber diese App ist es nicht erhältlich im Google Play Store; es wird direkt vom Server des Angreifers heruntergeladen. Die App wurde auf VirusTotal hochgeladen, wo sie eine unserer YARA-Regeln ausgelöst hat.

In Abbildung 1 sehen Sie einen Vergleich der gefälschten und legitimen Websites.

Abbildung 1. Gefälschte Website (links) vs. die legitime (rechts)

Basierend auf zuletzt geändert Informationen, die im offenen Verzeichnis des APK-Downloads auf der gefälschten Website verfügbar sind (siehe Abbildung 2), können wir schließen, dass diese App mindestens seit dem 21^st 2021.

Analyse

Dieses Beispiel ist keine voll funktionsfähige Malware, obwohl alle Spyware-Funktionen wie in den vorherigen Versionen implementiert sind. Allerdings können nicht alle Spyware-Funktionen ausgeführt werden, da die App durch die darin definierten Berechtigungen eingeschränkt ist AndroidManifest.xml. Wenn der Bedrohungsakteur die App-Berechtigungen erweitert, wäre er auch in der Lage zu exfiltrieren:

• Text aus der Zwischenablage,
• Gerätestandort,
• SMS-Nachrichten,
• Kontakte,
• Anruflisten,
• aufgezeichnete Telefongespräche,
• Text aller Benachrichtigungen von anderen Apps,
• Gerätekonten,
• Liste der Dateien auf dem Gerät,
• laufende Apps,
• Liste der installierten Apps und
• Geräteinformationen.

Es kann auch Befehle zum Aufnehmen von Fotos und Videos empfangen, wobei die Ergebnisse auf den C&C-Server hochgeladen werden. Die von der Nachahmer-Website heruntergeladene Furball-Variante kann weiterhin Befehle von ihrem C&C empfangen; Es kann jedoch nur diese Funktionen ausführen:

• Kontaktliste exfiltrieren,
• Abrufen zugänglicher Dateien von externem Speicher,
• installierte Apps auflisten,
• grundlegende Informationen über das Gerät erhalten und
• Gerätekonten abrufen (Liste der mit dem Gerät synchronisierten Benutzerkonten).

Abbildung 3 zeigt Berechtigungsanfragen, die vom Benutzer akzeptiert werden müssen. Diese Berechtigungen erwecken möglicherweise nicht den Eindruck, dass es sich um eine Spyware-App handelt, insbesondere angesichts der Tatsache, dass sie sich als Übersetzungs-App ausgibt.

Abbildung 3. Liste der angeforderten Berechtigungen

Nach der Installation sendet Furball alle 10 Sekunden eine HTTP-Anforderung an seinen C&C-Server und fragt nach auszuführenden Befehlen, wie im oberen Bereich von Abbildung 4 zu sehen ist. Der untere Bereich zeigt eine „Im Moment ist nichts zu tun“-Antwort von Furball der C&C-Server.

Abbildung 4. Kommunikation mit dem C&C-Server

Diese neuesten Beispiele haben keine neuen Funktionen implementiert, außer der Tatsache, dass der Code einfache Verschleierung angewendet hat. Verschleierung kann in Klassennamen, Methodennamen, einigen Zeichenfolgen, Protokollen und Server-URI-Pfaden entdeckt werden (was auch kleine Änderungen am Backend erfordert hätte). Abbildung 5 vergleicht die Klassennamen der älteren Furball-Version und der neuen Version mit Verschleierung.

Abbildung 5. Vergleich der Klassennamen der älteren Version (links) und der neuen Version (rechts)

Abbildung 6 und Abbildung 7 zeigen das frühere sendPost und neue sndPst Funktionen und hebt die Änderungen hervor, die diese Verschleierung erfordert.

Abbildung 6. Ältere nicht verschleierte Codeversion

Abbildung 7. Die neueste Code-Verschleierung

Diese elementaren Änderungen führten aufgrund dieser einfachen Verschleierung zu weniger Erkennungen auf VirusTotal. Wir haben die Erkennungsraten der entdeckten Probe verglichen Check Point ab Februar 2021 (Abbildung 8) mit der verschleierten Version, die seit Juni 2021 verfügbar ist (Abbildung 9).

Abbildung 8. Nicht verschleierte Version der Malware, die von 28/64-Engines erkannt wurde

Abbildung 9. Verschleierte Version der Malware, die von 4/63-Engines erkannt wurde, als sie zum ersten Mal auf VirusTotal hochgeladen wurden

Zusammenfassung

Die Domestic Kitten-Kampagne ist immer noch aktiv und nutzt Nachahmer-Websites, um iranische Bürger anzusprechen. Das Ziel des Betreibers hat sich, wie oben beschrieben, leicht von der Verbreitung vollwertiger Android-Spyware zu einer leichteren Variante geändert. Es fordert nur eine aufdringliche Erlaubnis an – um auf Kontakte zuzugreifen –, um höchstwahrscheinlich unter dem Radar zu bleiben und nicht den Verdacht potenzieller Opfer während des Installationsprozesses zu erregen. Dies könnte auch die erste Phase des Sammelns von Kontakten sein, auf die Spearphishing über Textnachrichten folgen könnte.

Neben der Reduzierung der aktiven App-Funktionalität versuchten die Malware-Autoren, die Anzahl der Erkennungen zu verringern, indem sie ein einfaches Code-Verschleierungsschema implementierten, um ihre Absichten vor mobiler Sicherheitssoftware zu verbergen.

IoCs

MITRE ATT&CK-Techniken

Diese Tabelle wurde mit erstellt Version 10 des ATT&CK-Frameworks.