La campagne Domestic Kitten d'APT-C-50 se poursuit, ciblant les citoyens iraniens avec une nouvelle version du malware FurBall se faisant passer pour une application de traduction Android
Les chercheurs d'ESET ont récemment identifié une nouvelle version du malware Android FurBall utilisé dans une campagne de chat domestique menée par le groupe APT-C-50. La campagne Domestic Kitten est connue pour mener des opérations de surveillance mobile contre les citoyens iraniens et cette nouvelle version FurBall n'est pas différente dans son ciblage. Depuis juin 2021, il est distribué en tant qu'application de traduction via une copie d'un site Web iranien qui fournit des articles, des revues et des livres traduits. L'application malveillante a été téléchargée sur VirusTotal où elle a déclenché l'une de nos règles YARA (utilisées pour classer et identifier les échantillons de logiciels malveillants), ce qui nous a permis de l'analyser.
Cette version de FurBall a la même fonctionnalité de surveillance que les versions précédentes ; cependant, les acteurs de la menace ont légèrement obscurci les noms de classe et de méthode, les chaînes, les journaux et les URI de serveur. Cette mise à jour nécessitait également de petites modifications sur le serveur C&C - précisément, les noms des scripts PHP côté serveur. Étant donné que la fonctionnalité de cette variante n'a pas changé, l'objectif principal de cette mise à jour semble être d'éviter la détection par un logiciel de sécurité. Cependant, ces modifications n'ont eu aucun effet sur le logiciel ESET ; Les produits ESET détectent cette menace sous Android/Spy.Agent.BWS.
L'échantillon analysé ne demande qu'une seule autorisation intrusive - pour accéder aux contacts. La raison pourrait être son objectif de rester sous le radar; d'autre part, nous pensons également que cela pourrait signaler qu'il ne s'agit que de la phase précédente d'une attaque de harponnage menée via des SMS. Si l'auteur de la menace étend les autorisations de l'application, il serait également capable d'exfiltrer d'autres types de données des téléphones concernés, tels que les messages SMS, l'emplacement de l'appareil, les appels téléphoniques enregistrés, et bien plus encore.
- La campagne des chatons domestiques est en cours et remonte à au moins 2016.
- Il cible principalement les citoyens iraniens.
- Nous avons découvert un nouvel échantillon Android Furball obscurci utilisé dans la campagne.
- Il est distribué à l'aide d'un site Web copieur.
- L'échantillon analysé n'a activé qu'une fonctionnalité d'espionnage restreinte, pour rester sous le radar.
Aperçu du chaton domestique
Le groupe APT-C-50, dans sa campagne Chaton domestique, mène des opérations de surveillance mobile contre des citoyens iraniens depuis 2016, comme le rapporte Check Point en 2018. En 2019, Trend Micro identifié une campagne malveillante, peut-être liée à Domestic Kitten, ciblant le Moyen-Orient, nommant la campagne Bouncing Golf. Peu de temps après, la même année, Qianxin ont signalé une campagne de chatons domestiques ciblant à nouveau l'Iran. En 2020, Sécurité de base 360 a révélé les activités de surveillance de Domestic Kitten ciblant des groupes anti-gouvernementaux au Moyen-Orient. Le dernier rapport connu accessible au public date de 2021 par Check Point.
FurBall - malware Android utilisé dans cette opération depuis le début de ces campagnes - est créé sur la base de l'outil de stalkerware commercial KidLogger. Il semble que les développeurs de FurBall se soient inspirés de la version open-source d'il y a sept ans disponible sur Github, comme le souligne Check Point.
Distribution
Cette application Android malveillante est diffusée via un faux site Web imitant un site légitime qui propose des articles et des livres traduits de l'anglais vers le persan (téléchargermaghaleh.com). Sur la base des informations de contact du site Web légitime, ils fournissent ce service depuis l'Iran, ce qui nous amène à croire avec une grande confiance que le site Web imitateur cible les citoyens iraniens. Le but du copieur est de proposer une application Android à télécharger après avoir cliqué sur un bouton qui dit, en persan, "Télécharger l'application". Le bouton a le logo Google Play, mais cette application est ne sauraient disponible sur la boutique Google Play ; il est téléchargé directement depuis le serveur de l'attaquant. L'application a été téléchargée sur VirusTotal où elle a déclenché l'une de nos règles YARA.
Dans la figure 1, vous pouvez voir une comparaison des sites Web faux et légitimes.
Figure 1. Faux site Web (à gauche) vs site légitime (à droite)
Basé sur dernière modification informations disponibles dans le répertoire ouvert du téléchargement APK sur le faux site Web (voir Figure 2), nous pouvons en déduire que cette application est disponible au téléchargement au moins depuis le 21 juinst 2021.
Analyse
Cet exemple n'est pas un logiciel malveillant entièrement fonctionnel, même si toutes les fonctionnalités des logiciels espions sont implémentées comme dans ses versions précédentes. Cependant, toutes ses fonctionnalités de logiciels espions ne peuvent pas être exécutées, car l'application est limitée par les autorisations définies dans son AndroidManifest.xml. Si l'auteur de la menace étend les autorisations de l'application, il serait également capable d'exfiltrer :
- texte du presse-papiers,
- emplacement de l'appareil,
- SMS,
- Contacts,
- les journaux d'appels,
- appels téléphoniques enregistrés,
- texte de toutes les notifications d'autres applications,
- comptes d'appareils,
- liste des fichiers sur l'appareil,
- applications en marche,
- liste des applications installées, et
- Info appareil.
Il peut également recevoir des commandes pour prendre des photos et enregistrer des vidéos, les résultats étant téléchargés sur le serveur C&C. La variante Furball téléchargée depuis le site Web du copieur peut toujours recevoir des commandes de son C&C; cependant, il ne peut exécuter que ces fonctions :
- exfiltrer la liste de contacts,
- obtenir des fichiers accessibles depuis un stockage externe,
- lister les applications installées,
- obtenir des informations de base sur l'appareil, et
- obtenir des comptes d'appareils (liste des comptes d'utilisateurs synchronisés avec l'appareil).
La figure 3 montre les demandes d'autorisation qui doivent être acceptées par l'utilisateur. Ces autorisations peuvent ne pas donner l'impression d'être une application de logiciel espion, d'autant plus qu'elle se présente comme une application de traduction.
Figure 3. Liste des autorisations demandées
Après l'installation, Furball envoie une requête HTTP à son serveur C&C toutes les 10 secondes, demandant l'exécution des commandes, comme on peut le voir dans le panneau supérieur de la figure 4. Le panneau inférieur représente une réponse "il n'y a rien à faire pour le moment" de le serveur C&C.
Figure 4. Communication avec le serveur C&C
Ces derniers échantillons n'ont pas de nouvelles fonctionnalités implémentées, à l'exception du fait que le code a une simple obfuscation appliquée. L'obscurcissement peut être repéré dans les noms de classe, les noms de méthode, certaines chaînes, les journaux et les chemins d'URI du serveur (ce qui aurait également nécessité de petites modifications sur le backend). La figure 5 compare les noms de classe de l'ancienne version de Furball et de la nouvelle version, avec l'obscurcissement.
Figure 5. Comparaison des noms de classe de l'ancienne version (à gauche) et de la nouvelle version (à droite)
La Figure 6 et la Figure 7 affichent la première envoyerPoster et les nouveaux sndPst fonctions, mettant en évidence les changements que cette obfuscation nécessite.
Figure 6. Ancienne version non obfusquée du code
Figure 7. La dernière obfuscation de code
Ces changements élémentaires, dus à cette simple obfuscation, ont entraîné moins de détections sur VirusTotal. Nous avons comparé les taux de détection de l'échantillon découvert par Check Point à partir de février 2021 (Figure 8) avec la version obscurcie disponible depuis juin 2021 (Figure 9).
Figure 8. Version non masquée du malware détectée par les moteurs 28/64
Figure 9. Version obscurcie du logiciel malveillant détectée par les moteurs 4/63 lors du premier chargement sur VirusTotal
Conclusion
La campagne Domestic Kitten est toujours active, utilisant des sites Web imitateurs pour cibler les citoyens iraniens. L'objectif de l'opérateur a légèrement changé, passant de la distribution de logiciels espions Android complets à une variante plus légère, comme décrit ci-dessus. Il ne demande qu'une seule autorisation intrusive - pour accéder aux contacts - le plus susceptible de rester sous le radar et de ne pas attirer les soupçons de victimes potentielles lors du processus d'installation. Cela pourrait également être la première étape de la collecte de contacts qui pourrait être suivie d'un harponnage via des messages texte.
En plus de réduire la fonctionnalité de l'application active, les auteurs de logiciels malveillants ont tenté de réduire le nombre de détections en mettant en œuvre un simple schéma d'obscurcissement du code pour masquer leurs intentions aux logiciels de sécurité mobile.
ESET Research propose également des rapports de renseignement APT privés et des flux de données. Pour toute demande concernant ce service, rendez-vous sur Intelligence des menaces ESET .
IoCs
| SHA-1 | Nom du forfait | Nom de détection ESET | Description |
|---|---|---|---|
| BF482E86D512DA46126F0E61733BCA4352620176 | com.getdoc.freepaper.dissertation | Android/Spy.Agent.BWS | Logiciel malveillant se faisant passer pour سرای مقاله (traduction : Article House) app. |
Techniques d'ATT&CK D'ONGLET
Ce tableau a été construit avec Version 10 du cadre ATT&CK.
| Tactique | ID | Nom | Description |
|---|---|---|---|
| Accès initial | T1476 | Diffuser une application malveillante par d'autres moyens | FurBall est livré via des liens de téléchargement direct derrière de faux boutons Google Play. |
| T1444 | La mascarade comme application légitime | Le site Web Copycat fournit des liens pour télécharger FurBall. | |
| Persistence | T1402 | Récepteurs de diffusion | FurBall reçoit le BOOT_COMPLETED diffuser l'intention d'activer au démarrage de l'appareil. |
| Découverte | T1418 | Découverte d'applications | FurBall peut obtenir une liste des applications installées. |
| T1426 | Découverte des informations système | FurBall peut extraire des informations sur l'appareil, notamment le type d'appareil, la version du système d'exploitation et l'identifiant unique. | |
| Collection | T1432 | Accéder à la liste de contacts | FurBall peut extraire la liste de contacts de la victime. |
| T1533 | Données du système local | FurBall peut extraire des fichiers accessibles à partir d'un stockage externe. | |
| Commander et contrôler | T1436 | Port couramment utilisé | FurBall communique avec le serveur C&C en utilisant le protocole HTTP. |
| exfiltration | T1437 | Protocole de couche application standard | FurBall exfiltre les données collectées via le protocole HTTP standard. |
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- Recherche ESET
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- Nous vivons la sécurité
- la sécurité d'un site web
- zéphyrnet
