קמפיין החתלתולים הביתי של APT-C-50 נמשך, מכוון לאזרחים איראנים עם גרסה חדשה של תוכנת הזדונית FurBall המתחזה לאפליקציית תרגום אנדרואיד
חוקרי ESET זיהו לאחרונה גרסה חדשה של תוכנת תוכנה זדונית אנדרואיד FurBall שנמצאת בשימוש בקמפיין חתלתול ביתי שנערך על ידי קבוצת APT-C-50. ידוע כי קמפיין חתלתול הבית מבצע פעולות מעקב ניידות נגד אזרחים איראנים וגרסה חדשה זו של FurBall אינה שונה במיקוד שלה. מאז יוני 2021, הוא מופץ כאפליקציה לתרגום באמצעות העתקה של אתר איראני המספק מאמרים, כתבי עת וספרים מתורגמים. האפליקציה הזדונית הועלתה ל-VirusTotal שם היא הפעילה את אחד מכללי ה-YARA שלנו (ששימש לסיווג וזיהוי דוגמאות של תוכנות זדוניות), מה שנתן לנו את ההזדמנות לנתח אותה.
לגרסה זו של FurBall יש את אותה פונקציונליות מעקב כמו גרסאות קודמות; עם זאת, שחקני האיום ערפלו מעט את שמות המחלקות והשיטות, מחרוזות, יומנים ו-URI של שרתים. עדכון זה דרש שינויים קטנים גם בשרת C&C - בדיוק, שמות של סקריפטים של PHP בצד השרת. מכיוון שהפונקציונליות של גרסה זו לא השתנתה, נראה שהמטרה העיקרית של עדכון זה היא להימנע מזיהוי על ידי תוכנת אבטחה. לשינויים הללו לא הייתה השפעה על תוכנת ESET, עם זאת; מוצרי ESET מזהים איום זה כ-Android/Spy.Agent.BWS.
המדגם המנותח מבקש רק הרשאה פולשנית אחת - לגשת לאנשי קשר. הסיבה יכולה להיות המטרה שלה להישאר מתחת לרדאר; מצד שני, אנחנו גם חושבים שזה עשוי לאותת שזה רק השלב הקודם, של מתקפת ספייר שבוצעה באמצעות הודעות טקסט. אם שחקן האיום ירחיב את הרשאות האפליקציה, הוא יוכל גם לסנן סוגים אחרים של נתונים מטלפונים מושפעים, כגון הודעות SMS, מיקום המכשיר, שיחות טלפון מוקלטות ועוד הרבה יותר.
- קמפיין חתלתולי הבית נמשך, החל לפחות משנת 2016.
- הוא מכוון בעיקר לאזרחים איראנים.
- גילינו דוגמה חדשה ומעורפלת של אנדרואיד Furball ששימשה בקמפיין.
- הוא מופץ באמצעות אתר copycat.
- המדגם המנותח הגביל רק את פונקציונליות הריגול, כדי להישאר מתחת לרדאר.
סקירה כללית של חתלתול בית
קבוצת APT-C-50, בקמפיין החתלתול הביתי שלה, עורכת פעולות מעקב ניידות נגד אזרחים איראנים מאז 2016, כפי שדווח על ידי צק פוינט בשנת 2018. בשנת 2019, טרנד מיקרו זיהה מסע פרסום זדוני, אולי קשור לחתלתול ביתי, המכוון למזרח התיכון, וקרא לקמפיין בונצ'ינג גולף. זמן קצר לאחר מכן, באותה שנה, צ'יאנקסין דיווח שוב על קמפיין חתלתול ביתי המכוון לאיראן. בשנת 2020, 360 Core Security חשף פעילויות מעקב של חתלתול ביתי המכוונות לקבוצות אנטי-ממשלתיות במזרח התיכון. הדו"ח האחרון הידוע לציבור הוא מ-2021 עד צק פוינט.
FurBall - תוכנה זדונית אנדרואיד המשמשת בפעולה זו מאז שהקמפיינים הללו החלו - נוצרת על בסיס כלי ה-stalkerware המסחרי KidLogger. נראה שמפתחי FurBall קיבלו השראה מגרסת הקוד הפתוח מלפני שבע שנים הזמינה ב-Github, כפי שצוין על ידי צק פוינט.
הפצה
אפליקציית אנדרואיד זדונית זו מועברת דרך אתר מזויף המחקה אתר לגיטימי המספק מאמרים וספרים מתורגמים מאנגלית לפרסית (downloadmaghaleh.com). בהתבסס על פרטי ההתקשרות מהאתר הלגיטימי, הם מספקים את השירות הזה מאיראן, מה שגורם לנו להאמין בביטחון רב שאתר העתקה מכוון לאזרחים איראנים. מטרת העתקה היא להציע אפליקציית אנדרואיד להורדה לאחר לחיצה על כפתור שאומר, בפרסית, "הורד את האפליקציה". לכפתור יש את הלוגו של Google Play, אבל האפליקציה הזו כן לֹא זמין מחנות Google Play; הורדה ישירה מהשרת של התוקף. האפליקציה הועלתה ל-VirusTotal שם היא הפעילה את אחד מכללי ה-YARA שלנו.
באיור 1 ניתן לראות השוואה בין האתרים המזויפים והלגיטימיים.
איור 1. אתר מזויף (משמאל) מול האתר הלגיטימי (מימין)
מבוסס על ה שונה לאחרונה מידע שזמין בספרייה הפתוחה של הורדת ה-APK באתר המזויף (ראה איור 2), אנו יכולים להסיק שהאפליקציה הזו זמינה להורדה לפחות מאז ה-21 ביוניst 2021.
אָנָלִיזָה
דוגמה זו אינה תוכנה זדונית פועלת במלואה, למרות שכל פונקציונליות תוכנת הריגול מיושמת כמו בגרסאות הקודמות שלה. עם זאת, לא ניתן להפעיל את כל הפונקציונליות של תוכנת הריגול שלה, מכיוון שהאפליקציה מוגבלת על ידי ההרשאות המוגדרות בה AndroidManifest.xml. אם שחקן האיום ירחיב את הרשאות האפליקציה, הוא יוכל גם להסתנן:
- טקסט מהלוח,
- מיקום המכשיר,
- הודעות SMS,
- אנשי קשר,
- יומן שיחות,
- שיחות טלפון מוקלטות,
- טקסט של כל ההתראות מאפליקציות אחרות,
- חשבונות מכשירים,
- רשימה של קבצים במכשיר,
- אפליקציות פועלות,
- רשימה של אפליקציות מותקנות, ו
- מידע על המכשיר.
הוא יכול גם לקבל פקודות לצילום תמונות והקלטת וידאו, כאשר התוצאות מועלות לשרת C&C. גרסת Furball שהורדה מאתר copycat עדיין יכולה לקבל פקודות מה-C&C שלה; עם זאת, הוא יכול לבצע רק את הפונקציות הבאות:
- לחלץ את רשימת אנשי הקשר,
- לקבל קבצים נגישים מאחסון חיצוני,
- רשימת אפליקציות מותקנות,
- לקבל מידע בסיסי על המכשיר, וכן
- קבל חשבונות מכשיר (רשימת חשבונות משתמש המסונכרנים עם המכשיר).
איור 3 מציג בקשות הרשאה שאכן צריכות להתקבל על ידי המשתמש. ייתכן שההרשאות הללו לא ייצרו רושם של אפליקציית ריגול, במיוחד בהתחשב בכך שהיא מתחזה לאפליקציית תרגום.
איור 3. רשימת ההרשאות המבוקשות
לאחר ההתקנה, Furball מבצע בקשת HTTP לשרת ה-C&C שלו כל 10 שניות, ומבקש לבצע פקודות, כפי שניתן לראות בפאנל העליון של איור 4. הלוח התחתון מתאר תגובה של "אין מה לעשות כרגע" מאת שרת C&C.
איור 4. תקשורת עם שרת C&C
לדוגמאות האחרונות הללו אין תכונות חדשות מיושמות, פרט לעובדה שהקוד מיושם ערפול פשוט. ניתן לזהות ערפול בשמות מחלקות, שמות שיטות, כמה מחרוזות, יומנים ונתיבי URI של שרת (שגם הם היו דורשים שינויים קטנים ב-backend). איור 5 משווה את שמות המחלקות של גרסת Furball הישנה יותר והגרסה החדשה, עם ערפול.
איור 5. השוואה בין שמות המחלקות של הגרסה הישנה יותר (משמאל) והגרסה החדשה (מימין)
איור 6 ואיור 7 מציגים את המוקדם יותר sendPost וחדש sndPst פונקציות, תוך הדגשת השינויים שהערפול הזה מחייב.
איור 6. גרסה ישנה יותר לא מעורפלת של קוד
איור 7. ערפול הקוד האחרון
השינויים היסודיים הללו, בשל הערפול הפשוט הזה, הביאו לפחות זיהויים ב-VirusTotal. השווינו את שיעורי הגילוי של המדגם שהתגלה על ידי צק פוינט מפברואר 2021 (איור 8) כשהגרסה המעורפלת זמינה מאז יוני 2021 (איור 9).
איור 8. גרסה לא מעורפלת של התוכנה הזדונית שזוהתה על ידי מנועי 28/64
איור 9. גרסה מעורפלת של התוכנה הזדונית שזוהתה על ידי מנועי 4/63 כשהעלתה לראשונה ל-VirusTotal
סיכום
הקמפיין של חתלתולים ביתיים עדיין פעיל, משתמש באתרי העתקה כדי למקד לאזרחים איראנים. מטרת המפעיל השתנתה מעט מהפצת תוכנות ריגול אנדרואיד בעלות תכונות מלאות לגרסה קלה יותר, כמתואר לעיל. הוא מבקש רק הרשאה פולשנית אחת - לגשת לאנשי קשר - ככל הנראה להישאר מתחת לרדאר ולא למשוך חשד של קורבנות פוטנציאליים במהלך תהליך ההתקנה. זה גם עשוי להיות השלב הראשון של איסוף אנשי קשר שעלול לבוא בעקבות דיוג באמצעות הודעות טקסט.
מלבד הפחתת הפונקציונליות הפעילה של האפליקציה, כותבי התוכנות הזדוניות ניסו להפחית את מספר הזיהויים על ידי הטמעת ערכת קוד פשוטה כדי להסתיר את כוונותיהם מתוכנת אבטחה ניידת.
ESET Research מציעה גם דוחות מודיעין פרטיים של APT והזנות נתונים. לכל שאלה לגבי שירות זה, בקר באתר ESET Threat Intelligence עמוד.
IoCs
| SHA-1 | שם חבילה | שם זיהוי ESET | תיאור |
|---|---|---|---|
| BF482E86D512DA46126F0E61733BCA4352620176 | com.getdoc.freepaaper.dissertation | אנדרואיד/Spy.Agent.BWS | Malware impersonating سرای مقاله (translation: Article House) app. |
טכניקות MITER ATT & CK
שולחן זה נבנה באמצעות גרסה 10 של מסגרת ATT&CK.
| טקטיקה | ID | שם | תיאור |
|---|---|---|---|
| גישה ראשונית | T1476 | שלח אפליקציה זדונית באמצעים אחרים | FurBall מועבר באמצעות קישורי הורדה ישירים מאחורי כפתורי Google Play מזויפים. |
| T1444 | התחפושת כיישום לגיטימי | אתר Copycat מספק קישורים להורדת FurBall. | |
| התמדה | T1402 | מקבלי שידור | FurBall מקבל את BOOT_COMPLETED שידור כוונה להפעלה בעת הפעלת המכשיר. |
| גילוי פערים | T1418 | גילוי יישומים | FurBall יכול לקבל רשימה של יישומים מותקנים. |
| T1426 | גילוי מידע מערכת | FurBall יכול לחלץ מידע על המכשיר כולל סוג המכשיר, גרסת מערכת ההפעלה ומזהה ייחודי. | |
| אוספים | T1432 | גישה לרשימת אנשי הקשר | FurBall יכול לחלץ את רשימת אנשי הקשר של הקורבן. |
| T1533 | נתונים מהמערכת המקומית | FurBall יכול לחלץ קבצים נגישים מאחסון חיצוני. | |
| פיקוד ובקרה | T1436 | נמל בשימוש נפוץ | FurBall מתקשר עם שרת C&C באמצעות פרוטוקול HTTP. |
| exfiltration | T1437 | פרוטוקול שכבת יישומים סטנדרטי | FurBall מסנן נתונים שנאספו על גבי פרוטוקול HTTP סטנדרטי. |
