Kampanye Kucing Domestik APT-C-50 berlanjut, menargetkan warga Iran dengan versi baru malware FurBall yang menyamar sebagai aplikasi terjemahan Android
Peneliti ESET baru-baru ini mengidentifikasi versi baru malware Android FurBall yang digunakan dalam kampanye Kucing Domestik yang dilakukan oleh grup APT-C-50. Kampanye Kucing Domestik diketahui melakukan operasi pengawasan seluler terhadap warga Iran dan versi FurBall baru ini tidak berbeda dalam penargetannya. Sejak Juni 2021, telah didistribusikan sebagai aplikasi terjemahan melalui peniru situs web Iran yang menyediakan artikel, jurnal, dan buku terjemahan. Aplikasi berbahaya diunggah ke VirusTotal di mana ia memicu salah satu aturan YARA kami (digunakan untuk mengklasifikasikan dan mengidentifikasi sampel malware), yang memberi kami kesempatan untuk menganalisisnya.
Versi FurBall ini memiliki fungsi pengawasan yang sama dengan versi sebelumnya; namun, aktor ancaman sedikit mengaburkan nama kelas dan metode, string, log, dan URI server. Pembaruan ini juga memerlukan perubahan kecil pada server C&C – tepatnya, nama skrip PHP sisi server. Karena fungsionalitas varian ini tidak berubah, tujuan utama pembaruan ini tampaknya adalah untuk menghindari deteksi oleh perangkat lunak keamanan. Namun, modifikasi ini tidak berpengaruh pada perangkat lunak ESET; Produk ESET mendeteksi ancaman ini sebagai Android/Spy.Agent.BWS.
Sampel yang dianalisis hanya meminta satu izin mengganggu – untuk mengakses kontak. Alasannya mungkin karena tujuannya untuk tetap berada di bawah radar; di sisi lain, kami juga berpikir itu mungkin menandakan bahwa ini hanyalah fase sebelumnya, dari serangan spearphishing yang dilakukan melalui pesan teks. Jika pelaku ancaman memperluas izin aplikasi, itu juga akan mampu mengekstrak jenis data lain dari ponsel yang terpengaruh, seperti pesan SMS, lokasi perangkat, panggilan telepon yang direkam, dan banyak lagi.
- Kampanye Kucing Domestik sedang berlangsung, setidaknya sejak tahun 2016.
- Ini terutama menargetkan warga negara Iran.
- Kami menemukan sampel Android Furball baru yang dikaburkan yang digunakan dalam kampanye.
- Ini didistribusikan menggunakan situs web peniru.
- Sampel yang dianalisis hanya memiliki fungsionalitas mata-mata terbatas yang diaktifkan, untuk tetap berada di bawah radar.
Sekilas tentang Kucing Domestik
Kelompok APT-C-50, dalam kampanye Kucing Domestiknya, telah melakukan operasi pengawasan bergerak terhadap warga Iran sejak 2016, seperti dilansir dari Check Point pada tahun 2018. Pada tahun 2019, Trend Micro mengidentifikasi kampanye jahat, mungkin terkait dengan Kucing Domestik, menargetkan Timur Tengah, menamai kampanye Bouncing Golf. Tak lama kemudian, di tahun yang sama, Qian Xin melaporkan kampanye Kucing Domestik lagi menargetkan Iran. Pada tahun 2020, Keamanan Inti 360 mengungkapkan kegiatan pengawasan Kucing Domestik yang menargetkan kelompok anti-pemerintah di Timur Tengah. Laporan terakhir yang tersedia untuk umum adalah dari tahun 2021 oleh Check Point.
FurBall – malware Android yang digunakan dalam operasi ini sejak kampanye ini dimulai – dibuat berdasarkan alat penguntit komersial KidLogger. Tampaknya pengembang FurBall terinspirasi oleh versi open-source dari tujuh tahun lalu yang tersedia di Github, seperti yang ditunjukkan oleh Check Point.
Distribusi
Aplikasi Android berbahaya ini dikirimkan melalui situs web palsu yang meniru situs sah yang menyediakan artikel dan buku yang diterjemahkan dari bahasa Inggris ke bahasa Persia (unduhmaghaleh.com). Berdasarkan informasi kontak dari situs web yang sah, mereka menyediakan layanan ini dari Iran, yang membuat kami yakin dengan keyakinan tinggi bahwa situs web peniru tersebut menargetkan warga negara Iran. Tujuan peniru adalah untuk menawarkan aplikasi Android untuk diunduh setelah mengklik tombol yang mengatakan, dalam bahasa Persia, "Unduh aplikasi". Tombolnya memiliki logo Google Play, tetapi aplikasi ini tidak tersedia dari toko Google Play; itu diunduh langsung dari server penyerang. Aplikasi telah diunggah ke VirusTotal di mana ia memicu salah satu aturan YARA kami.
Pada Gambar 1 Anda dapat melihat perbandingan situs web palsu dan sah.
Gambar 1. Website palsu (kiri) vs yang sah (kanan)
Berdasarkan terakhir diubah informasi yang tersedia di direktori terbuka unduhan APK di situs web palsu (lihat Gambar 2), kami dapat menyimpulkan bahwa aplikasi ini telah tersedia untuk diunduh setidaknya sejak 21 Junist, 2021.
Analisis
Sampel ini bukan malware yang berfungsi sepenuhnya, meskipun semua fungsionalitas spyware diimplementasikan seperti pada versi sebelumnya. Namun, tidak semua fungsi spyware-nya dapat dijalankan, karena aplikasi dibatasi oleh izin yang ditentukan dalam AndroidManifest.xml. Jika aktor ancaman memperluas izin aplikasi, itu juga akan mampu melakukan eksfiltrasi:
- teks dari papan klip,
- lokasi perangkat,
- pesan SMS,
- kontak,
- log panggilan,
- panggilan telepon yang direkam,
- teks semua notifikasi dari aplikasi lain,
- akun perangkat,
- daftar file di perangkat,
- aplikasi yang sedang berjalan,
- daftar aplikasi yang diinstal, dan
- informasi perangkat.
Itu juga dapat menerima perintah untuk mengambil foto dan merekam video, dengan hasil yang diunggah ke server C&C. Varian Furball yang diunduh dari situs peniru masih dapat menerima perintah dari C&C; namun, itu hanya dapat melakukan fungsi-fungsi ini:
- exfiltrat daftar kontak,
- dapatkan file yang dapat diakses dari penyimpanan eksternal,
- daftar aplikasi yang diinstal,
- mendapatkan informasi dasar tentang perangkat, dan
- dapatkan akun perangkat (daftar akun pengguna yang disinkronkan dengan perangkat).
Gambar 3 menunjukkan permintaan izin yang perlu diterima oleh pengguna. Izin ini mungkin tidak menimbulkan kesan sebagai aplikasi spyware, terutama karena aplikasi tersebut berfungsi sebagai aplikasi terjemahan.
Gambar 3. Daftar izin yang diminta
Setelah instalasi, Furball membuat permintaan HTTP ke server C&C setiap 10 detik, meminta perintah untuk dieksekusi, seperti yang dapat dilihat di panel atas Gambar 4. Panel bawah menggambarkan respons "tidak ada yang harus dilakukan saat ini" dari server C&C.
Gambar 4. Komunikasi dengan server C&C
Sampel terbaru ini tidak memiliki fitur baru yang diimplementasikan, kecuali fakta bahwa kode memiliki kebingungan sederhana yang diterapkan. Kebingungan dapat terlihat pada nama kelas, nama metode, beberapa string, log, dan jalur URI server (yang juga memerlukan perubahan kecil di backend). Gambar 5 membandingkan nama kelas dari versi Furball lama dan versi baru, dengan kebingungan.
Gambar 5. Perbandingan nama kelas versi lama (kiri) dan versi baru (kanan)
Gambar 6 dan Gambar 7 menampilkan tampilan tadi kirimPost dan baru sndPst fungsi, menyoroti perubahan yang diperlukan kebingungan ini.
Gambar 6. Versi kode lama yang tidak dikaburkan
Gambar 7. Kebingungan kode terbaru
Perubahan mendasar ini, karena kebingungan sederhana ini, menghasilkan lebih sedikit deteksi di VirusTotal. Kami membandingkan tingkat deteksi sampel yang ditemukan oleh Check Point dari Februari 2021 (Gambar 8) dengan versi obfuscate yang tersedia sejak Juni 2021 (Gambar 9).
Gambar 8. Versi malware yang tidak dikaburkan yang terdeteksi oleh mesin 28/64
Gambar 9. Versi tersamar dari malware yang terdeteksi oleh mesin 4/63 saat pertama kali diunggah ke VirusTotal
Kesimpulan
Kampanye Kucing Domestik masih aktif, menggunakan situs peniru untuk menargetkan warga negara Iran. Tujuan operator sedikit berubah dari mendistribusikan spyware Android berfitur lengkap ke varian yang lebih ringan, seperti yang dijelaskan di atas. Itu hanya meminta satu izin yang mengganggu – untuk mengakses kontak – kemungkinan besar untuk tetap berada di bawah radar dan tidak menarik kecurigaan calon korban selama proses instalasi. Ini juga mungkin merupakan tahap pertama mengumpulkan kontak yang bisa diikuti dengan spearphishing melalui pesan teks.
Selain mengurangi fungsionalitas aplikasi aktifnya, pembuat malware mencoba mengurangi jumlah deteksi dengan menerapkan skema penyamaran kode sederhana untuk menyembunyikan niat mereka dari perangkat lunak keamanan seluler.
ESET Research juga menawarkan laporan intelijen APT pribadi dan umpan data. Untuk pertanyaan tentang layanan ini, kunjungi Intelijen Ancaman ESET .
IoC
| SHA-1 | Nama Paket | Nama deteksi ESET | Deskripsi Produk |
|---|---|---|---|
| BF482E86D512DA46126F0E61733BCA4352620176 | com.getdoc.freepaaper.disertation | Android/Spy.Agent.BWS | Malware yang meniru aplikasi ای اله (terjemahan: Article House). |
Teknik ATT&CK MITER
Tabel ini dibuat menggunakan versi 10 dari kerangka ATT&CK.
| Taktik | ID | Nama | Deskripsi Produk |
|---|---|---|---|
| Akses Awal | T1476 | Kirim Aplikasi Berbahaya melalui Cara Lain | FurBall dikirimkan melalui tautan unduhan langsung di balik tombol Google Play palsu. |
| T1444 | Menyamar sebagai Aplikasi Sah | Situs web Copycat menyediakan tautan untuk mengunduh FurBall. | |
| Ketekunan | T1402 | Penerima Siaran | FurBall menerima BOOT_SELESAI maksud siaran untuk diaktifkan saat startup perangkat. |
| penemuan | T1418 | Penemuan Aplikasi | FurBall dapat memperoleh daftar aplikasi yang diinstal. |
| T1426 | Penemuan Informasi Sistem | FurBall dapat mengekstrak informasi tentang perangkat termasuk jenis perangkat, versi OS, dan ID unik. | |
| Koleksi | T1432 | Akses Daftar Kontak | FurBall dapat mengekstrak daftar kontak korban. |
| T1533 | Data dari Sistem Lokal | FurBall dapat mengekstrak file yang dapat diakses dari penyimpanan eksternal. | |
| Komando dan Pengendalian | T1436 | Pelabuhan yang Umum Digunakan | FurBall berkomunikasi dengan server C&C menggunakan protokol HTTP. |
| exfiltration | T1437 | Protokol Lapisan Aplikasi Standar | FurBall mengumpulkan data melalui protokol HTTP standar. |
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- Riset ESET
- firewall
- Kaspersky
- malware
- mcafe
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- VPN
- Kami Hidup Keamanan
- website security
- zephyrnet.dll
