Domestic Kitten -kampanja vakoilee Iranin kansalaisia ​​uudella FurBall-haittaohjelmalla

ESET-tutkijat tunnistivat äskettäin uuden version Android-haittaohjelmasta FurBall, jota käytettiin APT-C-50-ryhmän kotimaan kitten -kampanjassa. Domestic Kitten -kampanjan tiedetään suorittavan mobiilivalvontaoperaatioita Iranin kansalaisia ​​vastaan, ja tämä uusi FurBall-versio ei eroa kohdistamisensa suhteen. Kesäkuusta 2021 lähtien sitä on jaettu käännössovelluksena iranilaisen verkkosivuston kopioina, joka tarjoaa käännettyjä artikkeleita, lehtiä ja kirjoja. Haitallinen sovellus ladattiin VirusTotaliin, jossa se laukaisi yhden YARA-säännöistämme (käytetään haittaohjelmanäytteiden luokittelemiseen ja tunnistamiseen), mikä antoi meille mahdollisuuden analysoida se.

Tässä FurBall-versiossa on samat valvontatoiminnot kuin aiemmissa versioissa; uhkatoimijat hämärsivät kuitenkin hieman luokka- ja menetelmänimet, merkkijonot, lokit ja palvelimen URI:t. Tämä päivitys vaati pieniä muutoksia myös C&C-palvelimeen – juuri palvelinpuolen PHP-skriptien nimiin. Koska tämän muunnelman toiminnallisuus ei ole muuttunut, tämän päivityksen päätarkoitus näyttää olevan suojausohjelmiston havaitsemisen välttäminen. Näillä muutoksilla ei kuitenkaan ole ollut vaikutusta ESET-ohjelmistoon. ESET-tuotteet havaitsevat tämän uhan muodossa Android/Spy.Agent.BWS.

Analysoitu näyte pyytää vain yhtä tunkeilevaa lupaa – päästä käsiksi kontakteihin. Syynä voi olla sen tavoite pysyä tutkan alla; toisaalta uskomme myös, että se saattaa merkitä, että se on vain edellinen vaihe, tekstiviesteillä suoritettua hyökkäyshyökkäystä. Jos uhkatoimija laajentaa sovelluksen käyttöoikeuksia, se pystyy myös suodattamaan muuntyyppisiä tietoja vaikutuksen alaisista puhelimista, kuten tekstiviestit, laitteen sijainnin, tallennetut puhelut ja paljon muuta.

Kotikissanpentujen yleiskatsaus

APT-C-50-ryhmä on kotikissanpentu-kampanjassaan suorittanut mobiilivalvontaoperaatioita Iranin kansalaisia ​​vastaan ​​vuodesta 2016 lähtien, kuten raportoi Check Point vuonna 2018. Vuonna 2019, Trend Micro tunnisti haitallisen kampanjan, joka mahdollisesti liittyi Domestic Kitteniin ja joka kohdistui Lähi-itään ja antoi kampanjalle nimen Bouncing Golf. Pian tämän jälkeen, samana vuonna Qianxin ilmoitti kotikissan kampanjasta, joka kohdistui jälleen Iraniin. Vuonna 2020, 360 Core Security paljasti Domestic Kittenin valvontatoimet, jotka kohdistuivat hallituksen vastaisiin ryhmiin Lähi-idässä. Viimeisin tunnettu julkisesti saatavilla oleva raportti on vuodelta 2021 mennessä Check Point.

FurBall – Android-haittaohjelma, jota on käytetty tässä operaatiossa näiden kampanjoiden alkamisesta lähtien – on luotu kaupallisen stalkerware-työkalun KidLoggerin pohjalta. Näyttää siltä, ​​​​että FurBall-kehittäjät saivat inspiraationsa seitsemän vuoden takaisesta avoimen lähdekoodin versiosta, joka on saatavilla Githubissa, kuten Check Point.

Jakelu

Tämä haitallinen Android-sovellus toimitetaan väärennetyn verkkosivuston kautta, joka jäljittelee laillista sivustoa, joka tarjoaa englannista persiaksi käännettyjä artikkeleita ja kirjoja (downloadmaghaleh.com). Laillisen verkkosivuston yhteystietojen perusteella he tarjoavat tämän palvelun Iranista, mikä saa meidät uskomaan suurella varmuudella, että kopiointisivusto on suunnattu Iranin kansalaisille. Kopioinnin tarkoituksena on tarjota Android-sovellus ladattavaksi, kun napsautat painiketta, jossa lukee persiaksi "Lataa sovellus". Painikkeessa on Google Play -logo, mutta tämä sovellus on emme saatavilla Google Play -kaupasta; se ladataan suoraan hyökkääjän palvelimelta. Sovellus ladattiin VirusTotaliin, jossa se laukaisi yhden YARA-säännöistämme.

Kuvassa 1 näet väärennettyjen ja laillisten verkkosivustojen vertailun.

Kuva 1. Väärennetty verkkosivusto (vasemmalla) vs. laillinen (oikea)

Perustuu viimeksi muokattu tiedot, jotka ovat saatavilla APK-latauksen avoimessa hakemistossa väärennetyllä verkkosivustolla (katso kuva 2), voimme päätellä, että tämä sovellus on ollut ladattavissa ainakin 21. kesäkuuta lähtien^st, 2021.

analyysi

Tämä esimerkki ei ole täysin toimiva haittaohjelma, vaikka kaikki vakoiluohjelmatoiminnot on toteutettu kuten sen aiemmissa versioissa. Kaikkia sen vakoiluohjelmatoimintoja ei kuitenkaan voida suorittaa, koska sovellusta rajoittavat sen sovelluksessa määritellyt käyttöoikeudet. AndroidManifest.xml. Jos uhkatekijä laajentaa sovelluksen käyttöoikeuksia, se pystyy myös suodattamaan:

• teksti leikepöydältä,
• laitteen sijainti,
• tekstiviestit,
• yhteystiedot,
• puhelulokit,
• tallennetut puhelut,
• kaikkien muiden sovellusten ilmoitusten teksti,
• laitetilit,
• luettelo laitteessa olevista tiedostoista,
• käynnissä olevat sovellukset,
• asennettujen sovellusten luettelo ja
• laitetieto.

Se voi myös vastaanottaa komentoja ottaa valokuvia ja tallentaa videoita, ja tulokset ladataan C&C-palvelimelle. Copycat-verkkosivustolta ladattu Furball-variantti voi silti vastaanottaa komentoja C&C; se voi kuitenkin suorittaa vain nämä toiminnot:

• poistua yhteystietoluettelosta,
• saada käytettävissä olevat tiedostot ulkoisesta tallennustilasta,
• luettelo asennetuista sovelluksista,
• saada perustiedot laitteesta ja
• saada laitetilit (luettelo laitteen kanssa synkronoiduista käyttäjätileistä).

Kuvassa 3 esitetään käyttöoikeuspyynnöt, jotka käyttäjän on hyväksyttävä. Nämä luvat eivät välttämättä luo vaikutelmaa vakoiluohjelmasta, varsinkin kun se on käännössovellus.

Kuva 3. Luettelo pyydetyistä käyttöoikeuksista

Asennuksen jälkeen Furball tekee HTTP-pyynnön C&C-palvelimelleen 10 sekunnin välein ja pyytää suoritettavia komentoja, kuten näkyy kuvan 4 yläpaneelista. Alempi paneeli esittää "ei ole tällä hetkellä tekemistä" -vastauksen. C&C-palvelin.

Kuva 4. Yhteys C&C-palvelimen kanssa

Näissä uusimmissa näytteissä ei ole otettu käyttöön uusia ominaisuuksia lukuun ottamatta sitä tosiasiaa, että koodissa on käytetty yksinkertaista hämärtämistä. Hämärtymistä voidaan havaita luokan nimissä, metodien nimissä, joissakin merkkijonoissa, lokeissa ja palvelimen URI-poluissa (mikä olisi vaatinut myös pieniä muutoksia taustaan). Kuvassa 5 verrataan vanhemman Furball-version ja uuden version luokkanimiä hämärästi.

Kuva 5. Vanhemman version (vasemmalla) ja uuden version (oikealla) luokkanimien vertailu

Kuvassa 6 ja kuvassa 7 on esitetty aikaisempi sendPost ja uusi sndPst toiminnot korostaen muutoksia, joita tämä hämärtäminen edellyttää.

Kuva 6. Vanhempi ei-obfuskoitu versio koodista

Kuva 7. Viimeisin koodin hämärtäminen

Nämä perusmuutokset, jotka johtuvat tästä yksinkertaisesta hämärtymisestä, johtivat vähemmän havaitsemiseen VirusTotalissa. Vertailimme näytteen havaitsemisasteita Check Point helmikuusta 2021 alkaen (kuva 8), ja hämärä versio on ollut saatavilla kesäkuusta 2021 lähtien (kuva 9).

Kuva 8. 28/64 moottorin havaitseman haittaohjelman hämärtämätön versio

Kuva 9. Haittaohjelman hämärä versio, jonka 4/63 moottorit havaitsivat, kun ne ladattiin ensimmäisen kerran VirusTotaliin

Yhteenveto

Domestic Kitten -kampanja on edelleen aktiivinen, ja se käyttää kopioita verkkosivustoja kohdistaakseen Iranin kansalaisiin. Operaattorin tavoite on hieman muuttunut täysin varustetun Android-vakoiluohjelman jakamisesta kevyempään versioon, kuten yllä on kuvattu. Se pyytää vain yhtä tunkeilevaa lupaa – päästä käsiksi kontakteihin – todennäköisimmin pysyäkseen tutkan alla eikä herättääkseen mahdollisia uhreja epäilyksiä asennuksen aikana. Tämä saattaa myös olla ensimmäinen vaihe kontaktien keräämisessä, jota voi seurata tekstiviestien kautta tapahtuva tietojenkalastelu.

Sen aktiivisen sovelluksen toiminnallisuuden vähentämisen lisäksi haittaohjelmien kirjoittajat yrittivät vähentää havaitsemismäärää ottamalla käyttöön yksinkertaisen koodin hämärtymisjärjestelmän piilottaakseen tarkoituksensa mobiilitietoturvaohjelmistolta.

IoC: t

MITER ATT & CK -tekniikat

Tämä pöytä on rakennettu käyttämällä version 10 ATT&CK-kehyksestä.