새로운 FurBall 악성 코드로이란 시민을 염탐하는 국내 Kitten 캠페인

ESET 연구원들은 최근 APT-C-50 그룹이 수행한 Domestic Kitten 캠페인에서 새로운 버전의 Android 악성코드 FurBall이 사용되는 것을 확인했습니다. 국내 새끼 고양이 캠페인은 이란 시민을 대상으로 모바일 감시 작전을 수행하는 것으로 알려져 있으며 이 새로운 FurBall 버전도 대상에 차이가 없습니다. 2021년 XNUMX월부터 번역된 기사, 저널, 책을 제공하는 이란 웹사이트의 카피캣을 통해 번역 앱으로 배포되고 있다. 악성 앱이 VirusTotal에 업로드되어 YARA 규칙(맬웨어 샘플을 분류하고 식별하는 데 사용) 중 하나를 실행하여 이를 분석할 기회를 얻었습니다.

FurBall의 이 버전은 이전 버전과 동일한 감시 기능을 가지고 있습니다. 그러나 위협 행위자는 클래스 및 메서드 이름, 문자열, 로그 및 서버 URI를 약간 난독화했습니다. 이 업데이트는 C&C 서버에서도 약간의 변경이 필요했습니다. 정확히는 서버 측 PHP 스크립트의 이름입니다. 이 변종의 기능은 변경되지 않았으므로 이 업데이트의 주요 목적은 보안 소프트웨어에 의한 탐지를 방지하는 것으로 보입니다. 그러나 이러한 수정 사항은 ESET 소프트웨어에 영향을 미치지 않았습니다. ESET 제품은 이 위협 요소를 Android/Spy.Agent.BWS로 탐지합니다.

분석된 샘플은 연락처에 액세스하기 위해 하나의 침입 권한만 요청합니다. 그 이유는 레이더 아래에 머무르는 것이 목표일 수 있습니다. 반면에 문자 메시지를 통해 수행되는 스피어피싱 공격의 전 단계에 불과하다는 신호일 수도 있습니다. 위협 행위자가 앱 권한을 확장하면 영향을 받는 전화에서 SMS 메시지, 장치 위치, 녹음된 전화 통화 등과 같은 다른 유형의 데이터를 빼낼 수도 있습니다.

국내 고양이 개요

APT-C-50 그룹은 국내 새끼 고양이 캠페인에서 2016년부터 이란 시민을 대상으로 이동 감시 작전을 수행해 왔습니다. 체크 포인트 2018년에. 2019년에, 트렌드 마이크로 중동을 표적으로 하는 Domestic Kitten과 연관되었을 가능성이 있는 악의적인 캠페인을 식별하여 캠페인 이름을 Bouncing Golf로 지정했습니다. 얼마 지나지 않아 같은 해, 첸신 이란을 겨냥한 국내 고양이 캠페인을 다시 보고했습니다. 2020년에는 360 코어 보안 중동 반정부 단체를 겨냥한 국내 고양이의 감시 활동을 공개했다. 공개적으로 사용 가능한 마지막으로 알려진 보고서는 2021년 체크 포인트.

이러한 캠페인이 시작된 이후 이 작업에 사용된 Android 멀웨어인 FurBall은 상용 스토커웨어 도구인 KidLogger를 기반으로 생성되었습니다. FurBall 개발자들은 Github에서 사용할 수 있는 XNUMX년 전의 오픈 소스 버전에서 영감을 받은 것 같습니다. 체크 포인트.

콘텐츠 배급

이 악성 Android 애플리케이션은 영어에서 페르시아어(다운로드maghaleh.com). 합법적인 웹 사이트의 연락처 정보를 기반으로 이란에서 이 서비스를 제공하므로 모방 웹 사이트가 이란 시민을 대상으로 한다고 확신할 수 있습니다. 모방의 목적은 페르시아어로 "응용 프로그램 다운로드"라는 버튼을 클릭한 후 다운로드할 수 있는 Android 앱을 제공하는 것입니다. 버튼에는 Google Play 로고가 있지만 이 앱은 지원 Google Play 스토어에서 사용할 수 있습니다. 공격자의 서버에서 직접 다운로드됩니다. 앱이 YARA 규칙 중 하나를 실행한 VirusTotal에 업로드되었습니다.

그림 1에서 가짜 웹사이트와 합법적 웹사이트를 비교한 것을 볼 수 있습니다.

그림 1. 가짜 웹사이트(왼쪽)와 합법적인 웹사이트(오른쪽)

에 기초 마지막 수정 가짜 웹사이트의 APK 다운로드 오픈 디렉토리에 있는 정보(그림 2 참조)를 보면 이 앱이 최소한 21월 XNUMX일부터 다운로드가 가능했다고 추론할 수 있습니다.^st, 2021.

Analysis

이 샘플은 모든 스파이웨어 기능이 이전 버전에서와 같이 구현되었지만 완전히 작동하는 맬웨어가 아닙니다. 그러나 모든 스파이웨어 기능을 실행할 수 있는 것은 아닙니다. AndroidManifest.xml. 위협 행위자가 앱 권한을 확장하면 다음을 유출할 수도 있습니다.

• 클립보드의 텍스트,
• 장치 위치,
• SMS 메시지,
• 콘택트 렌즈,
• 통화 기록,
• 녹음된 전화 통화,
• 다른 앱의 모든 알림 텍스트,
• 장치 계정,
• 장치의 파일 목록,
• 실행 중인 앱,
• 설치된 앱 목록 및
• 기기 정보.

또한 사진을 찍고 동영상을 녹화하라는 명령을 받을 수 있으며 결과는 C&C 서버에 업로드됩니다. 카피캣 웹사이트에서 다운로드한 Furball 변종은 여전히 ​​C&C에서 명령을 받을 수 있습니다. 그러나 다음 기능만 수행할 수 있습니다.

• 연락처 목록을 추출,
• 외부 저장소에서 액세스 가능한 파일 가져오기,
• 설치된 앱 나열,
• 장치에 대한 기본 정보를 얻고
• 장치 계정 가져오기(장치와 동기화된 사용자 계정 목록).

그림 3은 사용자가 수락해야 하는 권한 요청을 보여줍니다. 이러한 권한은 특히 번역 앱으로 가장하는 경우 스파이웨어 앱이라는 인상을 주지 않을 수 있습니다.

그림 3. 요청된 권한 목록

설치 후 Furball은 그림 10의 상단 패널에서 볼 수 있는 것처럼 실행할 명령을 요청하는 C&C 서버에 4초마다 HTTP 요청을 보냅니다. 하단 패널은 "현재 할 일이 없습니다" 응답을 보여줍니다. 씨앤씨 서버.

그림 4. C&C 서버와 통신

이 최신 샘플에는 코드에 간단한 난독화가 적용되었다는 사실을 제외하고는 구현된 새로운 기능이 없습니다. 난독화는 클래스 이름, 메서드 이름, 일부 문자열, 로그 및 서버 URI 경로(백엔드에서 약간의 변경이 필요함)에서 발견될 수 있습니다. 그림 5는 이전 Furball 버전과 새 버전의 클래스 이름을 난독화한 상태로 비교합니다.

그림 5. 구 버전(왼쪽)과 새 버전(오른쪽)의 클래스 이름 비교

그림 6과 그림 7은 이전 센드포스트 및 새로운 sndPst 이 난독화에 필요한 변경 사항을 강조 표시합니다.

그림 6. 난독화되지 않은 이전 버전의 코드

그림 7. 최신 코드 난독화

이 간단한 난독화로 인해 이러한 기본적인 변경으로 인해 VirusTotal에서 더 적은 수의 탐지가 발생했습니다. 에 의해 발견된 샘플의 검출률을 비교했습니다. 체크 포인트 2021년 8월(그림 2021)부터 난독화된 버전이 9년 XNUMX월(그림 XNUMX)부터 사용 가능합니다.

그림 8. 28/64 엔진에서 탐지한 난독화되지 않은 멀웨어 버전

그림 9. VirusTotal에 처음 업로드될 때 4/63 엔진이 탐지한 난독화된 악성코드 버전

결론

국내 새끼 고양이 캠페인은 이란 시민을 대상으로 모방 웹 사이트를 사용하여 여전히 활성 상태입니다. 운영자의 목표는 위에서 설명한 대로 완전한 기능을 갖춘 Android 스파이웨어를 배포하는 것에서 더 가벼운 변종으로 약간 변경되었습니다. 그것은 가장 레이더에 머물고 설치 과정에서 잠재적인 희생자의 의심을 끌지 않을 가능성이 가장 높은 연락처에 액세스하기 위해 한 번의 침입 권한만 요청합니다. 이것은 또한 문자 메시지를 통한 스피어피싱이 뒤따를 수 있는 연락처 수집의 첫 번째 단계일 수 있습니다.

활성 앱 기능을 줄이는 것 외에도 멀웨어 작성자는 모바일 보안 소프트웨어에서 의도를 숨기기 위해 간단한 코드 난독화 체계를 구현하여 탐지 횟수를 줄이려고 했습니다.

IoC

MITRE ATT&CK 기술

이 테이블은 다음을 사용하여 제작되었습니다. 버전 10 ATT&CK 프레임워크의