Continua la campagna Domestic Kitten di APT-C-50, che prende di mira i cittadini iraniani con una nuova versione del malware FurBall mascherato da app di traduzione Android
I ricercatori ESET hanno recentemente identificato una nuova versione del malware Android FurBall utilizzato in una campagna di gattini domestici condotta dal gruppo APT-C-50. La campagna Domestic Kitten è nota per condurre operazioni di sorveglianza mobile contro cittadini iraniani e questa nuova versione di FurBall non è diversa nel suo targeting. Da giugno 2021 è stata distribuita come app di traduzione tramite un copione di un sito Web iraniano che fornisce articoli, giornali e libri tradotti. L'app dannosa è stata caricata su VirusTotal dove ha attivato una delle nostre regole YARA (usate per classificare e identificare i campioni di malware), che ci ha dato l'opportunità di analizzarla.
Questa versione di FurBall ha le stesse funzionalità di sorveglianza delle versioni precedenti; tuttavia, gli attori delle minacce hanno leggermente offuscato i nomi di classi e metodi, le stringhe, i log e gli URI del server. Questo aggiornamento ha richiesto anche piccole modifiche al server C&C, precisamente i nomi degli script PHP lato server. Poiché la funzionalità di questa variante non è cambiata, lo scopo principale di questo aggiornamento sembra essere quello di evitare il rilevamento da parte del software di sicurezza. Tuttavia, queste modifiche non hanno avuto alcun effetto sul software ESET; I prodotti ESET rilevano questa minaccia come Android/Spy.Agent.BWS.
Il campione analizzato richiede solo un'autorizzazione intrusiva: accedere ai contatti. Il motivo potrebbe essere il suo scopo di rimanere sotto il radar; d'altra parte, pensiamo anche che possa segnalare che si tratta solo della fase precedente, di un attacco di spearphishing condotto tramite sms. Se l'attore della minaccia espande le autorizzazioni dell'app, sarebbe anche in grado di esfiltrare altri tipi di dati dai telefoni interessati, come messaggi SMS, posizione del dispositivo, telefonate registrate e molto altro.
- È in corso la campagna Domestic Kitten, che risale almeno al 2016.
- Si rivolge principalmente ai cittadini iraniani.
- Abbiamo scoperto un nuovo esempio di Android Furball offuscato utilizzato nella campagna.
- È distribuito utilizzando un sito Web copycat.
- Il campione analizzato ha abilitato solo la funzionalità di spionaggio limitata, per rimanere sotto il radar.
Panoramica del gattino domestico
Il gruppo APT-C-50, nella sua campagna Domestic Kitten, conduce dal 2016 operazioni di sorveglianza mobile contro cittadini iraniani, come riportato da Check Point nel 2018. Nel 2019, Trend Micro ha identificato una campagna dannosa, probabilmente collegata a Domestic Kitten, mirata al Medio Oriente, chiamando la campagna Bouncing Golf. Poco dopo, nello stesso anno, Qianxin ha riferito di una campagna di gattini domestici ancora una volta mirata all'Iran. Nel 2020, Sicurezza di base a 360 gradi ha rivelato le attività di sorveglianza di Domestic Kitten nei confronti di gruppi antigovernativi in Medio Oriente. L'ultimo rapporto noto pubblicamente disponibile è del 2021 di Check Point.
FurBall, il malware Android utilizzato in questa operazione dall'inizio di queste campagne, è stato creato sulla base dello strumento di stalkerware commerciale KidLogger. Sembra che gli sviluppatori di FurBall si siano ispirati alla versione open source di sette anni fa disponibile su Github, come sottolineato da Check Point.
Distribuzione
Questa applicazione Android dannosa viene fornita tramite un sito Web falso che imita un sito legittimo che fornisce articoli e libri tradotti dall'inglese al persiano (scaricamaghaleh.com). Sulla base delle informazioni di contatto del sito Web legittimo, forniscono questo servizio dall'Iran, il che ci porta a credere con grande sicurezza che il sito Web emulatore prende di mira i cittadini iraniani. Lo scopo del copycat è quello di offrire un'app Android da scaricare dopo aver cliccato su un pulsante che dice, in persiano, "Scarica l'applicazione". Il pulsante ha il logo di Google Play, ma questa app lo è non disponibile dal Google Play Store; viene scaricato direttamente dal server dell'attaccante. L'app è stata caricata su VirusTotal dove ha attivato una delle nostre regole YARA.
Nella Figura 1 puoi vedere un confronto tra i siti Web falsi e legittimi.
Figura 1. Sito falso (a sinistra) e quello legittimo (a destra)
Basato sul Ultima modifica informazioni che sono disponibili nella directory aperta del download dell'APK sul sito Web falso (vedi Figura 2), possiamo dedurre che questa app è disponibile per il download almeno dal 21 giugnost 2021.
Analisi
Questo esempio non è un malware completamente funzionante, anche se tutte le funzionalità dello spyware sono implementate come nelle versioni precedenti. Tuttavia, non tutte le sue funzionalità spyware possono essere eseguite, poiché l'app è limitata dalle autorizzazioni definite al suo interno AndroidManifest.xml. Se l'attore della minaccia espande le autorizzazioni dell'app, sarebbe anche in grado di esfiltrare:
- testo dagli appunti,
- posizione del dispositivo,
- messaggi SMS,
- contatti,
- Registro chiamate,
- telefonate registrate,
- testo di tutte le notifiche da altre app,
- account del dispositivo,
- elenco di file sul dispositivo,
- app in esecuzione,
- elenco delle app installate e
- Informazioni sul dispositivo.
Può anche ricevere comandi per scattare foto e registrare video, con i risultati caricati sul server C&C. La variante Furball scaricata dal sito web copycat può ancora ricevere comandi dal suo C&C; tuttavia, può svolgere solo queste funzioni:
- estrarre la lista dei contatti,
- ottenere file accessibili da memoria esterna,
- elenca le app installate,
- ottenere informazioni di base sul dispositivo e
- ottenere account dispositivo (elenco di account utente sincronizzati con il dispositivo).
La figura 3 mostra le richieste di autorizzazione che devono essere accettate dall'utente. Queste autorizzazioni potrebbero non creare l'impressione di essere un'app spyware, soprattutto perché si atteggia a un'app di traduzione.
Figura 3. Elenco delle autorizzazioni richieste
Dopo l'installazione, Furball effettua una richiesta HTTP al proprio server C&C ogni 10 secondi, chiedendo i comandi da eseguire, come si può vedere nel pannello superiore della Figura 4. Il pannello inferiore mostra una risposta "non c'è niente da fare al momento" da il server C&C.
Figura 4. Comunicazione con il server C&C
Questi ultimi esempi non hanno nuove funzionalità implementate, fatta eccezione per il fatto che al codice è stata applicata una semplice offuscamento. L'offuscamento può essere individuato in nomi di classi, nomi di metodi, alcune stringhe, registri e percorsi URI del server (che avrebbero anche richiesto piccole modifiche sul back-end). La figura 5 confronta i nomi delle classi della versione precedente di Furball e della nuova versione, con offuscamento.
Figura 5. Confronto dei nomi delle classi della versione precedente (a sinistra) e della nuova versione (a destra)
La Figura 6 e la Figura 7 mostrano il precedente sendPost e nuovi sndPst funzioni, evidenziando i cambiamenti che questo offuscamento richiede.
Figura 6. Versione precedente del codice non offuscata
Figura 7. L'ultimo offuscamento del codice
Queste modifiche elementari, dovute a questo semplice offuscamento, hanno comportato un minor numero di rilevamenti su VirusTotal. Abbiamo confrontato i tassi di rilevamento del campione scoperto da Check Point da febbraio 2021 (Figura 8) con la versione offuscata disponibile da giugno 2021 (Figura 9).
Figura 8. Versione non offuscata del malware rilevato dai motori 28/64
Figura 9. Versione offuscata del malware rilevata dai motori 4/63 al primo caricamento su VirusTotal
Conclusione
La campagna Domestic Kitten è ancora attiva, utilizzando siti Web imitatori per prendere di mira i cittadini iraniani. L'obiettivo dell'operatore è leggermente cambiato dalla distribuzione di spyware Android con funzionalità complete a una variante più leggera, come descritto sopra. Richiede un solo permesso intrusivo - per accedere ai contatti - molto probabilmente per rimanere sotto il radar e non attirare il sospetto di potenziali vittime durante il processo di installazione. Questa potrebbe anche essere la prima fase della raccolta di contatti che potrebbe essere seguita dallo spearphishing tramite messaggi di testo.
Oltre a ridurre la funzionalità dell'app attiva, gli autori di malware hanno cercato di ridurre il numero di rilevamenti implementando un semplice schema di offuscamento del codice per nascondere le proprie intenzioni dal software di sicurezza mobile.
ESET Research offre anche report di intelligence APT privati e feed di dati. Per qualsiasi domanda su questo servizio, visitare il Intelligence sulle minacce ESET .
IOCS
| SHA-1 | Nome pacchetto | Nome rilevamento ESET | Descrizione |
|---|---|---|---|
| BF482E86D512DA46126F0E61733BCA4352620176 | com.getdoc.freepaaper.dissertation | Android/Spy.Agent.BWS | Malware che impersona سرای مقاله (traduzione: Article House) app. |
Tecniche MITRE ATT&CK
Questa tabella è stata creata utilizzando Versione 10 del quadro ATT&CK.
| tattica | ID | Nome | Descrizione |
|---|---|---|---|
| Accesso iniziale | T1476 | Fornisci app dannose con altri mezzi | FurBall viene fornito tramite collegamenti per il download diretto dietro falsi pulsanti di Google Play. |
| T1444 | Masquerade come applicazione legittima | Il sito web di Copycat fornisce collegamenti per scaricare FurBall. | |
| Persistenza | T1402 | Ricevitori di trasmissione | FurBall riceve il BOOT_COMPLETATO intento di trasmissione da attivare all'avvio del dispositivo. |
| Ricerca e Sviluppo | T1418 | Scoperta dell'applicazione | FurBall può ottenere un elenco di applicazioni installate. |
| T1426 | Scoperta delle informazioni di sistema | FurBall può estrarre informazioni sul dispositivo, inclusi il tipo di dispositivo, la versione del sistema operativo e l'ID univoco. | |
| Collezione | T1432 | Accedi all'elenco dei contatti | FurBall può estrarre l'elenco dei contatti della vittima. |
| T1533 | Dati dal sistema locale | FurBall può estrarre file accessibili da una memoria esterna. | |
| Comando e controllo | T1436 | Porta comunemente usata | FurBall comunica con il server C&C utilizzando il protocollo HTTP. |
| exfiltration | T1437 | Protocollo del livello di applicazione standard | FurBall esfiltra i dati raccolti tramite il protocollo HTTP standard. |
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- Ricerca ESET
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- Viviamo la sicurezza
- sicurezza del sito Web
- zefiro
