APT-C-50 kampaania Domestic Kitten jätkub, sihites Iraani kodanikke pahavara FurBall uue versiooniga, mis maskeerub Androidi tõlkerakenduseks.
ESET-i teadlased tuvastasid hiljuti Androidi pahavara FurBall uue versiooni, mida kasutati grupi APT-C-50 korraldatud kodukassi kampaanias. Kodukassi kampaania korraldab teadaolevalt mobiilseid jälgimisoperatsioone Iraani kodanike vastu ja see uus FurBalli versioon ei erine oma sihtmärgi poolest. Alates 2021. aasta juunist on seda levitatud tõlkerakendusena Iraani veebisaidi koopia kaudu, mis pakub tõlgitud artikleid, ajakirju ja raamatuid. Pahatahtlik rakendus laaditi üles VirusTotali, kus see käivitas ühe meie YARA reeglitest (kasutatakse pahavara näidiste klassifitseerimiseks ja tuvastamiseks), mis andis meile võimaluse seda analüüsida.
Sellel FurBalli versioonil on samad jälgimisfunktsioonid kui eelmistel versioonidel; ohutegijad aga segasid veidi klasside ja meetodite nimesid, stringe, logisid ja serveri URI-sid. See värskendus nõudis väikseid muudatusi ka C&C serveris – just nimelt serveripoolsete PHP-skriptide nimesid. Kuna selle variandi funktsionaalsus ei ole muutunud, näib selle värskenduse peamine eesmärk olevat vältida turvatarkvara tuvastamist. Need muudatused ei ole aga ESET-i tarkvarale mõju avaldanud; ESET-i tooted tuvastavad selle ohu kui Android/Spy.Agent.BWS.
Analüüsitud proov nõuab ainult üht pealetükkivat luba – kontaktidele juurdepääsuks. Põhjuseks võib olla selle eesmärk jääda radari alla; teisest küljest arvame ka, et see võib anda märku, et tegemist on vaid tekstisõnumite kaudu läbiviidud rünnakute eelneva faasiga. Kui ohustaja laiendab rakenduse õigusi, suudab see mõjutatud telefonidest välja filtreerida ka muud tüüpi andmeid, nagu SMS-sõnumid, seadme asukoht, salvestatud telefonikõned ja palju muud.
- Kodukassipoja kampaania kestab vähemalt 2016. aastast.
- See on peamiselt suunatud Iraani kodanikele.
- Avastasime kampaanias kasutatud uue, segatud Android Furballi näidise.
- Seda levitatakse kopeeriva veebisaidi abil.
- Analüüsitud proovil on lubatud ainult piiratud luuramisfunktsioon, et jääda radari alla.
Kodukassipoegade ülevaade
APT-C-50 rühmitus on oma kodukassipoegade kampaania raames viinud läbi mobiilseid jälgimisoperatsioone Iraani kodanike vastu alates 2016. aastast, nagu teatas Check Point aastal 2018. 2019. aastal Trend Micro tuvastas pahatahtliku kampaania, mis võib olla seotud programmiga Domestic Kitten ja mis oli suunatud Lähis-Idale, andes kampaaniale nimeks Bouncing Golf. Varsti pärast seda, samal aastal, Qianxin teatas kodukassi kampaaniast, mis oli taas suunatud Iraanile. 2020. aastal 360 põhiturvalisus avalikustas Domestic Kitteni jälitustegevused, mis olid suunatud Lähis-Ida valitsusvastastele rühmitustele. Viimane teadaolev avalikult kättesaadav aruanne pärineb aastast 2021 Check Point.
FurBall – Androidi pahavara, mida selles operatsioonis on kasutatud alates nende kampaaniate algusest – on loodud kaubandusliku jälitusvara tööriista KidLogger alusel. Näib, et FurBalli arendajad olid inspireeritud seitsme aasta tagusest avatud lähtekoodiga versioonist, mis on saadaval Githubis, nagu märkis Check Point.
jaotus
See pahatahtlik Androidi rakendus tarnitakse võltsveebisaidi kaudu, mis jäljendab seaduslikku saiti, mis pakub inglise keelest pärsia keelde tõlgitud artikleid ja raamatuid (downloadmaghaleh.com). Tuginedes seadusliku veebisaidi kontaktandmetele, pakuvad nad seda teenust Iraanist, mis paneb meid suure kindlusega uskuma, et kopeeriv veebisait on suunatud Iraani kodanikele. Kopeerimise eesmärk on pakkuda Androidi rakendust allalaadimiseks pärast klõpsamist nupul, mis ütleb pärsia keeles: "Laadi rakendus alla". Nupul on Google Play logo, kuid sellel rakendusel on mitte saadaval Google Play poest; see laaditakse alla otse ründaja serverist. Rakendus laaditi üles VirusTotali, kus see käivitas ühe meie YARA reeglitest.
Joonisel 1 näete võltsitud ja seaduslike veebisaitide võrdlust.
Joonis 1. Võltsitud veebisait (vasakul) vs seaduslik veebisait (paremal)
Põhinedes viimati muudetud võltsveebisaidi APK allalaadimise avatud kataloogis (vt joonis 2) saadaoleva teabe põhjal võime järeldada, et see rakendus on olnud allalaadimiseks saadaval vähemalt alates 21. juunist.st, 2021.
analüüs
See näidis ei ole täielikult töötav pahavara, kuigi kõik nuhkvara funktsioonid on rakendatud nagu selle eelmistes versioonides. Kõiki selle nuhkvarafunktsioone ei saa siiski käivitada, kuna rakendust piiravad selle rakenduses määratletud õigused. AndroidManifest.xml. Kui ohustaja laiendab rakenduse õigusi, on see võimeline välja filtreerima ka:
- tekst lõikelaualt,
- seadme asukoht,
- SMS-sõnumid,
- kontaktid,
- kõnelogid,
- salvestatud telefonikõned,
- kõigi teiste rakenduste teadete tekst,
- seadme kontod,
- seadmes olevate failide loend,
- töötavad rakendused,
- installitud rakenduste loend ja
- seadme teave.
Samuti saab see vastu võtta käske fotode tegemiseks ja video salvestamiseks, kusjuures tulemused laaditakse üles C&C serverisse. Cocat'i veebisaidilt alla laaditud Furballi variant saab endiselt oma C&C; kuid see suudab täita ainult neid funktsioone:
- kontaktiloendi väljafiltreerimine,
- hankige juurdepääsetavad failid välisest salvestusruumist,
- installitud rakenduste loend,
- hankida seadme kohta põhiteavet ja
- hankige seadme kontosid (seadmega sünkroonitud kasutajakontode loend).
Joonisel 3 on näidatud loataotlused, mis kasutajal tuleb nõustuda. Need load ei pruugi jätta muljet, et tegemist on nuhkvararakendusega, eriti arvestades, et see kujutab endast tõlkerakendust.
Joonis 3. Nõutud õiguste loend
Pärast installimist teeb Furball oma C&C serverile iga 10 sekundi järel HTTP päringu, paludes käivitada käske, nagu on näha joonise 4 ülemisel paneelil. Alumine paneel kujutab vastust "hetkel pole midagi teha". C&C server.
Joonis 4. Side C&C serveriga
Nendel viimastel näidistel pole uusi funktsioone rakendatud, välja arvatud asjaolu, et koodile on rakendatud lihtne hägusus. Hägustamist võib märgata klassinimedes, meetodite nimedes, mõnedes stringides, logides ja serveri URI teedes (mis oleks nõudnud ka taustaprogrammis väikseid muudatusi). Joonisel 5 võrreldakse Furballi vanema versiooni ja uue versiooni klassinimesid hägustusega.
Joonis 5. Vanema versiooni (vasakul) ja uue versiooni (paremal) klassinimede võrdlus
Joonistel 6 ja 7 on kujutatud varasem sendPost ja uus sndPst funktsioonid, tuues esile muudatused, mida see segamine nõuab.
Joonis 6. Koodi vanem hägustamata versioon
Joonis 7. Viimane koodi hägustamine
Need elementaarsed muudatused, mis on tingitud sellest lihtsast segamisest, põhjustasid VirusTotalis vähem tuvastamisi. Võrdlesime poolt avastatud proovi avastamismäärasid Check Point alates 2021. aasta veebruarist (joonis 8) ja hägustatud versioon on saadaval alates 2021. aasta juunist (joonis 9).
Joonis 8. 28/64 mootori poolt tuvastatud pahavara hägustamata versioon
Joonis 9. Esmakordsel VirusTotali üleslaadimisel tuvastatud 4/63 mootorite poolt tuvastatud pahavara hägustatud versioon
Järeldus
Kodukassi kampaania on endiselt aktiivne, kasutades Iraani kodanike sihtimiseks kopeeritud veebisaite. Operaatori eesmärk on pisut muutunud täisfunktsionaalse Androidi nuhkvara levitamise asemel kergema variandi vastu, nagu eespool kirjeldatud. See nõuab ainult ühte pealetükkivat luba – juurdepääsuks kontaktidele –, et kõige tõenäolisemalt jääda radari alla ja mitte äratada installiprotsessi ajal potentsiaalsete ohvrite kahtlust. See võib olla ka kontaktide kogumise esimene etapp, millele võib järgneda tekstisõnumite kaudu andmepüügi.
Lisaks aktiivse rakenduse funktsionaalsuse vähendamisele püüdsid pahavara kirjutajad vähendada tuvastamiste arvu, rakendades lihtsat koodide hägustamise skeemi, et varjata oma kavatsusi mobiilse turvatarkvara eest.
ESET Research pakub ka privaatseid APT luurearuandeid ja andmevooge. Kui teil on selle teenuse kohta küsimusi, külastage aadressi ESET Threat Intelligence lehel.
IoC-d
| SHA-1 | Paketi nimi | ESET-i tuvastamise nimi | Kirjeldus |
|---|---|---|---|
| BF482E86D512DA46126F0E61733BCA4352620176 | com.getdoc.freepaaper.dissertation | Android/Spy.Agent.BWS | Pahavara, mis kehastab سرای مقاله (tõlge: Article House) rakendust. |
MITER ATT&CK tehnikad
See laud on ehitatud kasutades versioon 10 ATT&CK raamistikust.
| Taktika | ID | Nimi | Kirjeldus |
|---|---|---|---|
| Esialgne juurdepääs | T1476 | Pahatahtliku rakenduse edastamine muude vahendite kaudu | FurBall tarnitakse otse allalaadimislinkide kaudu võltsitud Google Play nuppude taga. |
| T1444 | Maskeraad seaduslikuks taotluseks | Copycati veebisait pakub linke FurBalli allalaadimiseks. | |
| Püsivus | T1402 | Ringhäälingu vastuvõtjad | FurBall saab BOOT_COMPLETED leviedastuse kavatsus aktiveerida seadme käivitamisel. |
| avastus | T1418 | Rakenduse avastamine | FurBall saab installitud rakenduste loendi. |
| T1426 | Süsteemi teabe avastamine | FurBall saab hankida teavet seadme kohta, sealhulgas seadme tüüp, OS-i versioon ja kordumatu ID. | |
| kogumine | T1432 | Juurdepääs kontaktide loendile | FurBall saab välja võtta ohvri kontaktide nimekirja. |
| T1533 | Andmed kohalikust süsteemist | FurBall saab juurdepääsetavaid faile välisest salvestusruumist ekstraktida. | |
| Juhtimine ja kontroll | T1436 | Tavaliselt kasutatav port | FurBall suhtleb C&C serveriga HTTP protokolli kasutades. |
| Välja filtreerimine | T1437 | Standardne rakenduskihi protokoll | FurBall eemaldab kogutud andmed standardse HTTP-protokolli kaudu. |
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- ESET-i uuringud
- tulemüüri
- Kaspersky
- malware
- mcafee
- NexBLOC
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- VPN
- Me elame turvaliselt
- kodulehel turvalisus
- sephyrnet
