Εκστρατεία Domestic Kitten που κατασκοπεύει Ιρανούς πολίτες με νέο κακόβουλο λογισμικό FurBall

Οι ερευνητές της ESET εντόπισαν πρόσφατα μια νέα έκδοση του κακόβουλου λογισμικού Android FurBall που χρησιμοποιείται σε μια καμπάνια Domestic Kitten που διεξάγεται από την ομάδα APT-C-50. Η εκστρατεία Domestic Kitten είναι γνωστό ότι διεξάγει επιχειρήσεις παρακολούθησης μέσω κινητού εναντίον Ιρανών πολιτών και αυτή η νέα έκδοση FurBall δεν διαφέρει στη στόχευσή της. Από τον Ιούνιο του 2021, διανέμεται ως εφαρμογή μετάφρασης μέσω αντιγραφής ιρανικού ιστότοπου που παρέχει μεταφρασμένα άρθρα, περιοδικά και βιβλία. Η κακόβουλη εφαρμογή μεταφορτώθηκε στο VirusTotal όπου ενεργοποίησε έναν από τους κανόνες YARA μας (που χρησιμοποιείται για την ταξινόμηση και τον εντοπισμό δειγμάτων κακόβουλου λογισμικού), ο οποίος μας έδωσε την ευκαιρία να την αναλύσουμε.

Αυτή η έκδοση του FurBall έχει την ίδια λειτουργία επιτήρησης με τις προηγούμενες εκδόσεις. Ωστόσο, οι παράγοντες απειλών περιέκοψαν ελαφρώς τα ονόματα κλάσεων και μεθόδων, συμβολοσειρές, αρχεία καταγραφής και URI διακομιστή. Αυτή η ενημέρωση απαιτούσε μικρές αλλαγές και στον διακομιστή C&C - ακριβώς, ονόματα σεναρίων PHP από την πλευρά του διακομιστή. Δεδομένου ότι η λειτουργικότητα αυτής της παραλλαγής δεν έχει αλλάξει, ο κύριος σκοπός αυτής της ενημέρωσης φαίνεται να είναι η αποφυγή εντοπισμού από το λογισμικό ασφαλείας. Ωστόσο, αυτές οι τροποποιήσεις δεν είχαν καμία επίδραση στο λογισμικό ESET. Τα προϊόντα της ESET εντοπίζουν αυτήν την απειλή ως Android/Spy.Agent.BWS.

Το δείγμα που αναλύθηκε ζητά μόνο μία παρεμβατική άδεια - για πρόσβαση στις επαφές. Ο λόγος μπορεί να είναι ο στόχος του να παραμείνει κάτω από το ραντάρ. Από την άλλη πλευρά, πιστεύουμε επίσης ότι μπορεί να σημαίνει ότι είναι απλώς η προηγούμενη φάση, μιας επίθεσης ψαρέματος που πραγματοποιείται μέσω μηνυμάτων κειμένου. Εάν ο παράγοντας απειλών επεκτείνει τις άδειες εφαρμογής, θα έχει επίσης τη δυνατότητα να εκμεταλλεύεται άλλους τύπους δεδομένων από επηρεαζόμενα τηλέφωνα, όπως μηνύματα SMS, τοποθεσία συσκευής, ηχογραφημένες τηλεφωνικές κλήσεις και πολλά άλλα.

Επισκόπηση Domestic Kitten

Η ομάδα APT-C-50, στην εκστρατεία Domestic Kitten, διεξάγει επιχειρήσεις κινητής επιτήρησης εναντίον Ιρανών πολιτών από το 2016, όπως αναφέρει Check Point το 2018. Το 2019, Trend Micro εντόπισε μια κακόβουλη καμπάνια, πιθανώς συνδεδεμένη με το Domestic Kitten, με στόχο τη Μέση Ανατολή, ονομάζοντας την καμπάνια Bouncing Golf. Λίγο αργότερα, την ίδια χρονιά, Qianxin ανέφερε μια εκστρατεία Domestic Kitten με στόχο ξανά το Ιράν. το 2020, 360 Core Security αποκάλυψε δραστηριότητες παρακολούθησης του Domestic Kitten με στόχο αντικυβερνητικές ομάδες στη Μέση Ανατολή. Η τελευταία γνωστή δημόσια έκθεση είναι από το 2021 έως Check Point.

Το FurBall – κακόβουλο λογισμικό Android που χρησιμοποιείται σε αυτήν τη λειτουργία από την έναρξη αυτών των καμπανιών – δημιουργείται με βάση το εμπορικό εργαλείο stalkerware KidLogger. Φαίνεται ότι οι προγραμματιστές του FurBall εμπνεύστηκαν από την έκδοση ανοιχτού κώδικα πριν από επτά χρόνια που είναι διαθέσιμη στο Github, όπως επισημαίνεται από Check Point.

Διανομή

Αυτή η κακόβουλη εφαρμογή Android παρέχεται μέσω ενός ψεύτικου ιστότοπου που μιμείται έναν νόμιμο ιστότοπο που παρέχει άρθρα και βιβλία μεταφρασμένα από τα αγγλικά στα περσικά (downloadmaghaleh.com). Με βάση τα στοιχεία επικοινωνίας από τον νόμιμο ιστότοπο, παρέχουν αυτήν την υπηρεσία από το Ιράν, γεγονός που μας κάνει να πιστεύουμε με μεγάλη σιγουριά ότι ο ιστότοπος copycat στοχεύει Ιρανούς πολίτες. Ο σκοπός του copycat είναι να προσφέρει μια εφαρμογή Android για λήψη αφού κάνετε κλικ σε ένα κουμπί που λέει, στα περσικά, "Λήψη της εφαρμογής". Το κουμπί έχει το λογότυπο του Google Play, αλλά αυτή η εφαρμογή είναι δεν διαθέσιμο από το Google Play store. γίνεται λήψη απευθείας από τον διακομιστή του εισβολέα. Η εφαρμογή μεταφορτώθηκε στο VirusTotal όπου ενεργοποίησε έναν από τους κανόνες YARA μας.

Στο Σχήμα 1 μπορείτε να δείτε μια σύγκριση των ψεύτικων και νόμιμων ιστότοπων.

Εικόνα 1. Ψεύτικος ιστότοπος (αριστερά) έναντι του νόμιμου (δεξιά)

Βασισμένο στο τελευταία τροποποίηση πληροφορίες που είναι διαθέσιμες στον ανοιχτό κατάλογο λήψης APK στον ψεύτικο ιστότοπο (βλ. Εικόνα 2), μπορούμε να συμπεράνουμε ότι αυτή η εφαρμογή ήταν διαθέσιμη για λήψη τουλάχιστον από τις 21 Ιουνίου^st 2021.

Ανάλυση

Αυτό το δείγμα δεν λειτουργεί πλήρως κακόβουλο λογισμικό, παρόλο που όλες οι λειτουργίες spyware υλοποιούνται όπως στις προηγούμενες εκδόσεις του. Ωστόσο, δεν μπορεί να εκτελεστεί όλες οι λειτουργίες του spyware, επειδή η εφαρμογή περιορίζεται από τα δικαιώματα που ορίζονται στο AndroidManifest.xml. Εάν ο παράγοντας απειλής επεκτείνει τις άδειες εφαρμογής, θα έχει επίσης τη δυνατότητα να διεισδύσει:

• κείμενο από το πρόχειρο,
• τοποθεσία της συσκευής,
• μηνύματα SMS,
• επαφές,
• τα αρχεία καταγραφής κλήσεων,
• ηχογραφημένες τηλεφωνικές κλήσεις,
• κείμενο όλων των ειδοποιήσεων από άλλες εφαρμογές,
• λογαριασμούς συσκευών,
• λίστα αρχείων στη συσκευή,
• εκτέλεση εφαρμογών,
• λίστα εγκατεστημένων εφαρμογών και
• πληροφορίες συσκευής.

Μπορεί επίσης να λάβει εντολές για λήψη φωτογραφιών και εγγραφή βίντεο, με τα αποτελέσματα να ανεβαίνουν στον διακομιστή C&C. Η παραλλαγή Furball που έχει ληφθεί από τον ιστότοπο copycat μπορεί να λαμβάνει εντολές από το C&C του. Ωστόσο, μπορεί να εκτελέσει μόνο αυτές τις λειτουργίες:

• λίστα επαφών διείσδυσης,
• λήψη προσβάσιμων αρχείων από εξωτερικό χώρο αποθήκευσης,
• λίστα εγκατεστημένων εφαρμογών,
• λάβετε βασικές πληροφορίες για τη συσκευή και
• λήψη λογαριασμών συσκευής (λίστα λογαριασμών χρηστών που έχουν συγχρονιστεί με τη συσκευή).

Το σχήμα 3 δείχνει αιτήματα άδειας που πρέπει να γίνουν αποδεκτά από τον χρήστη. Αυτά τα δικαιώματα ενδέχεται να μην δημιουργούν την εντύπωση ότι πρόκειται για εφαρμογή spyware, ειδικά δεδομένου ότι παρουσιάζεται ως εφαρμογή μετάφρασης.

Εικόνα 3. Λίστα των απαιτούμενων δικαιωμάτων

Μετά την εγκατάσταση, το Furball κάνει ένα αίτημα HTTP στον διακομιστή C&C του κάθε 10 δευτερόλεπτα, ζητώντας εντολές για εκτέλεση, όπως φαίνεται στον επάνω πίνακα της Εικόνας 4. Ο κάτω πίνακας απεικονίζει μια απάντηση "δεν υπάρχει τίποτα να κάνουμε αυτήν τη στιγμή" από ο διακομιστής C&C.

Εικόνα 4. Επικοινωνία με διακομιστή C&C

Αυτά τα πιο πρόσφατα δείγματα δεν έχουν εφαρμόσει νέα χαρακτηριστικά, εκτός από το γεγονός ότι ο κώδικας έχει απλή συσκότιση. Η συσκότιση μπορεί να εντοπιστεί σε ονόματα κλάσεων, ονόματα μεθόδων, ορισμένες συμβολοσειρές, αρχεία καταγραφής και διαδρομές URI διακομιστή (που θα απαιτούσαν επίσης μικρές αλλαγές στο backend). Το Σχήμα 5 συγκρίνει τα ονόματα κλάσεων της παλαιότερης έκδοσης Furball και της νέας έκδοσης, με συσκότιση.

Εικόνα 5. Σύγκριση ονομάτων κλάσεων της παλαιότερης έκδοσης (αριστερά) και της νέας έκδοσης (δεξιά)

Το Σχήμα 6 και το Σχήμα 7 εμφανίζουν το προηγούμενο sendPost και νέες sndPst λειτουργίες, επισημαίνοντας τις αλλαγές που απαιτεί αυτή η συσκότιση.

Εικόνα 6. Παλαιότερη μη ασαφή έκδοση κώδικα

Εικόνα 7. Η πιο πρόσφατη συσκότιση κώδικα

Αυτές οι στοιχειώδεις αλλαγές, λόγω αυτής της απλής συσκότισης, είχαν ως αποτέλεσμα λιγότερες ανιχνεύσεις στο VirusTotal. Συγκρίναμε τα ποσοστά ανίχνευσης του δείγματος που ανακαλύφθηκε από Check Point από τον Φεβρουάριο του 2021 (Εικόνα 8) με την ασαφή έκδοση διαθέσιμη από τον Ιούνιο του 2021 (Εικόνα 9).

Εικόνα 8. Μη ασαφή έκδοση του κακόβουλου λογισμικού που εντοπίστηκε από μηχανές 28/64

Εικόνα 9. Συγκεκριμένη έκδοση του κακόβουλου λογισμικού που εντοπίστηκε από μηχανές 4/63 κατά την πρώτη μεταφόρτωση στο VirusTotal

Συμπέρασμα

Η εκστρατεία Domestic Kitten είναι ακόμα ενεργή, χρησιμοποιώντας ιστοτόπους αντιγραφής για να στοχεύουν Ιρανούς πολίτες. Ο στόχος του χειριστή έχει αλλάξει ελαφρώς από τη διανομή λογισμικού κατασκοπείας Android με πλήρη χαρακτηριστικά σε μια πιο ελαφριά παραλλαγή, όπως περιγράφεται παραπάνω. Ζητάει μόνο μία παρεμβατική άδεια – για πρόσβαση στις επαφές – το πιθανότερο για να παραμείνει κάτω από το ραντάρ και να μην προσελκύσει την υποψία πιθανών θυμάτων κατά τη διαδικασία εγκατάστασης. Αυτό μπορεί επίσης να είναι το πρώτο στάδιο συλλογής επαφών που θα μπορούσε να ακολουθηθεί από ψαρέματα μέσω μηνυμάτων κειμένου.

Εκτός από τη μείωση της ενεργής λειτουργικότητας της εφαρμογής, οι συντάκτες κακόβουλου λογισμικού προσπάθησαν να μειώσουν τον αριθμό των ανιχνεύσεων εφαρμόζοντας ένα απλό σχήμα συσκότισης κώδικα για να κρύψουν τις προθέσεις τους από το λογισμικό ασφαλείας για κινητά.

IoC

Τεχνικές MITER ATT & CK

Αυτός ο πίνακας κατασκευάστηκε χρησιμοποιώντας έκδοση 10 του πλαισίου ATT&CK.