A Domestic Kitten kampány iráni állampolgárok után kémkedett új FurBall kártevőkkel

Az ESET kutatói a közelmúltban azonosították a FurBall androidos rosszindulatú program új verzióját, amelyet az APT-C-50 csoport által lebonyolított Domestic Kitten kampányban használtak. A Domestic Kitten kampányról ismert, hogy mobil megfigyelési műveleteket hajt végre iráni állampolgárok ellen, és ez az új FurBall-verzió sem különbözik a célzástól. 2021 júniusa óta fordítóalkalmazásként terjesztik egy iráni webhely másolatán keresztül, amely lefordított cikkeket, folyóiratokat és könyveket tartalmaz. A rosszindulatú alkalmazást feltöltötték a VirusTotalra, ahol kiváltotta az egyik YARA-szabályunkat (amely a rosszindulatú programok mintáinak osztályozására és azonosítására szolgál), ami lehetőséget adott az elemzésre.

A FurBall ezen verziója ugyanazokkal a felügyeleti funkciókkal rendelkezik, mint a korábbi verziók; azonban a fenyegetés szereplői kissé elhomályosították az osztály- és metódusneveket, a karakterláncokat, a naplókat és a kiszolgáló URI-it. Ez a frissítés a C&C szerveren is apró változtatásokat igényelt – pontosan a szerveroldali PHP szkriptek elnevezését. Mivel ennek a változatnak a funkcionalitása nem változott, a frissítés fő célja a biztonsági szoftver általi észlelés elkerülése. Ezek a módosítások azonban nem voltak hatással az ESET szoftverére; Az ESET-termékek ezt a fenyegetést Android/Spy.Agent.BWS néven észlelik.

Az elemzett minta csak egy tolakodó engedélyt kér – a kapcsolatok eléréséhez. Az ok az lehet, hogy célja, hogy a radar alatt maradjon; másrészt azt is gondoljuk, hogy ez csak az előző fázisa, egy szöveges üzeneteken keresztül végrehajtott adathalász támadásnak. Ha a fenyegetettség szereplője kiterjeszti az alkalmazás engedélyeit, akkor más típusú adatokat is kiszűrhet az érintett telefonokról, például SMS-üzeneteket, eszköz helyét, rögzített telefonhívásokat és még sok mást.

Házi cica áttekintése

Az APT-C-50 csoport a Házi cica kampányában 2016 óta hajt végre mobil megfigyelési műveleteket iráni állampolgárok ellen, amint arról beszámolt Check Point 2018-ben. 2019-ban Trend Micro azonosított egy rosszindulatú kampányt, amely valószínűleg a Domestic Kittenhez kapcsolódik, és a Közel-Keletet célozta meg, és a kampányt Bouncing Golfnak nevezte el. Nem sokkal később, ugyanabban az évben Qianxin ismét Iránt célzó Házi cica kampányról számolt be. 2020-ban, 360 Core Security nyilvánosságra hozta a Domestic Kitten megfigyelési tevékenységét a közel-keleti kormányellenes csoportok ellen. Az utolsó ismert nyilvánosan elérhető jelentés 2021-től származik Check Point.

A FurBall – a kampány kezdete óta használt androidos kártevő ebben a műveletben – a KidLogger kereskedelmi célú stalkerware eszközön alapul. Úgy tűnik, hogy a FurBall fejlesztőit a hét évvel ezelőtti nyílt forráskódú verzió ihlette, amely a Githubon érhető el, amint azt a Check Point.

Nemzetközi disztribúció

Ezt a rosszindulatú Android-alkalmazást egy hamis webhelyen keresztül szállítják, amely egy legitim webhelyet utánoz, amely angolról perzsára fordított cikkeket és könyveket tartalmaz (letöltésmaghaleh.com). A törvényes webhely elérhetőségei alapján ezt a szolgáltatást Iránból nyújtják, ami arra késztet bennünket, hogy nagy bizalommal higgyük, hogy a másoló weboldal iráni állampolgárokat céloz meg. A másolás célja, hogy egy Android-alkalmazást kínáljon letöltésre, miután rákattintott egy perzsa nyelven „Töltsd le az alkalmazást” feliratú gombra. A gombon a Google Play logó látható, de ez az alkalmazás nem elérhető a Google Play Áruházból; közvetlenül a támadó szerveréről töltődik le. Az alkalmazást feltöltötték a VirusTotalra, ahol kiváltotta az egyik YARA-szabályunkat.

Az 1. ábrán a hamis és a legális webhelyek összehasonlítása látható.

1. ábra: Hamis webhely (bal oldalon) a legális webhelyhez (jobbra) képest

Alapján utoljára módosítva az APK letöltésének nyílt könyvtárában a hamis weboldalon elérhető információk (lásd 2. ábra), arra következtethetünk, hogy ez az alkalmazás legalább június 21-e óta letölthető^st, 2021.

Elemzés

Ez a minta nem teljesen működőképes rosszindulatú program, annak ellenére, hogy a kémprogramok összes funkciója a korábbi verziókhoz hasonlóan működik. Nem minden kémprogram-funkciója hajtható végre, mivel az alkalmazást korlátozzák az abban meghatározott engedélyek. AndroidManifest.xml. Ha a fenyegetés szereplője kibővíti az alkalmazás engedélyeit, akkor a következőket is képes kiszűrni:

• szöveg a vágólapról,
• készülék helye,
• SMS üzenetek,
• kapcsolatok,
• híváslista,
• rögzített telefonhívások,
• más alkalmazások összes értesítésének szövege,
• eszköz fiókok,
• az eszközön lévő fájlok listája,
• futó alkalmazások,
• telepített alkalmazások listája, és
• eszköz információ.

Képes fényképek készítésére és videó rögzítésére vonatkozó parancsokat is fogadni, az eredményeket pedig a C&C szerverre tölti fel. A copycat webhelyről letöltött Furball változat továbbra is képes parancsokat fogadni a C&C; azonban csak az alábbi funkciókat tudja ellátni:

• kiszűrni a névjegyzéket,
• elérhető fájlokat kaphat külső tárhelyről,
• telepített alkalmazások listája,
• alapvető információkat szerezhet a készülékről, és
• eszközfiókok beszerzése (az eszközzel szinkronizált felhasználói fiókok listája).

A 3. ábra azokat az engedélykéréseket mutatja, amelyeket a felhasználónak el kell fogadnia. Előfordulhat, hogy ezek az engedélyek nem keltenek kémprogram-alkalmazás benyomását, különösen, ha fordítóalkalmazásnak tűnik.

3. ábra: A kért engedélyek listája

A telepítés után a Furball 10 másodpercenként HTTP kérést küld a C&C szerveréhez, és parancsokat kér a végrehajtáshoz, ahogy az a 4. ábra felső paneljén is látható. Az alsó panel egy „jelenleg nincs mit tenni” válasz. a C&C szerver.

4. ábra: Kommunikáció a C&C szerverrel

Ezek a legújabb minták nem tartalmaznak új funkciókat, kivéve azt a tényt, hogy a kód egyszerű elfedést alkalmaz. Az obfuszkáció észrevehető az osztálynevekben, a metódusnevekben, néhány karakterláncban, naplókban és a kiszolgáló URI-útvonalaiban (ami szintén kis változtatásokat igényelt volna a háttérben). Az 5. ábra a régebbi Furball verzió és az új verzió osztályneveit hasonlítja össze, homályosítással.

5. ábra: A régebbi verzió (balra) és az új verzió (jobbra) osztályneveinek összehasonlítása

A 6. és 7. ábra a korábbit mutatja be sendPost és az új sndPst funkciókat, kiemelve azokat a változtatásokat, amelyeket ez az elhomályosítás szükségessé tesz.

6. ábra. A kód régebbi, nem obfuszkált verziója

7. ábra: A legújabb kódzavarás

Ezek az alapvető változtatások, ennek az egyszerű elhomályosításnak köszönhetően, kevesebb észlelést eredményeztek a VirusTotalon. által felfedezett minta kimutatási arányait hasonlítottuk össze Check Point 2021 februárjától (8. ábra), a 2021 júniusa óta elérhető obfuszkált verzióval (9. ábra).

8. ábra: A 28/64 motor által észlelt rosszindulatú program nem homályos verziója

9. ábra: A rosszindulatú program elhomályosított verziója, amelyet 4/63 motor észlelt a VirusTotalba való első feltöltéskor

Következtetés

A Domestic Kitten kampány továbbra is aktív, és másolt webhelyeket használ az iráni állampolgárok megcélzására. Az üzemeltető célja némileg módosult a teljes funkcionalitású Android spyware terjesztéséről egy könnyebb változatra, a fent leírtak szerint. Csak egy tolakodó engedélyt kér – a névjegyekhez való hozzáféréshez –, hogy nagy valószínűséggel a radar alatt maradjon, és ne keltse fel a potenciális áldozatok gyanúját a telepítési folyamat során. Ez lehet a névjegygyűjtés első szakasza is, amelyet szöveges üzenetek útján történő adathalászat követhet.

Az aktív alkalmazás funkcióinak csökkentése mellett a rosszindulatú programok írói megpróbálták csökkenteni az észlelések számát egy egyszerű kódzavarás sémával, amellyel elrejtették szándékaikat a mobil biztonsági szoftverek elől.

IoCs

MITER ATT&CK technikák

Ez a táblázat felhasználásával készült 10 verzió az ATT&CK keretrendszer.