Binnenlandse Kitten-campagne bespioneert Iraanse burgers met nieuwe FurBall-malware

ESET-onderzoekers hebben onlangs een nieuwe versie van de Android-malware FurBall geïdentificeerd die wordt gebruikt in een campagne voor binnenlandse kittens, uitgevoerd door de APT-C-50-groep. Het is bekend dat de Domestic Kitten-campagne mobiele bewakingsoperaties uitvoert tegen Iraanse burgers en deze nieuwe FurBall-versie is niet anders in zijn gerichtheid. Sinds juni 2021 wordt het als vertaal-app verspreid via een copycat van een Iraanse website die vertaalde artikelen, tijdschriften en boeken levert. De kwaadaardige app werd geüpload naar VirusTotal waar het een van onze YARA-regels activeerde (gebruikt om malwarevoorbeelden te classificeren en identificeren), wat ons de mogelijkheid gaf om het te analyseren.

Deze versie van FurBall heeft dezelfde bewakingsfunctionaliteit als eerdere versies; de dreigingsactoren verdoezelden echter enigszins de namen van klassen en methoden, tekenreeksen, logboeken en server-URI's. Deze update vereiste ook kleine wijzigingen op de C&C-server - precies, namen van server-side PHP-scripts. Aangezien de functionaliteit van deze variant niet is veranderd, lijkt het belangrijkste doel van deze update te zijn om detectie door beveiligingssoftware te voorkomen. Deze wijzigingen hebben echter geen effect gehad op de ESET-software; ESET-producten detecteren deze bedreiging als Android/Spy.Agent.BWS.

Het geanalyseerde voorbeeld vraagt ​​slechts één opdringerige toestemming - om toegang te krijgen tot contacten. De reden kan zijn doel zijn om onder de radar te blijven; aan de andere kant denken we ook dat het erop kan wijzen dat het slechts de voorafgaande fase is van een spearphishing-aanval die via sms wordt uitgevoerd. Als de dreigingsactor de app-machtigingen uitbreidt, zou hij ook in staat zijn om andere soorten gegevens van getroffen telefoons te exfiltreren, zoals sms-berichten, apparaatlocatie, opgenomen telefoongesprekken en nog veel meer.

Overzicht binnenlandse kitten

De APT-C-50-groep voert in haar Domestic Kitten-campagne sinds 2016 mobiele surveillanceoperaties uit tegen Iraanse burgers, zoals gerapporteerd door Check Point in 2018. In 2019 Trend Micro identificeerde een kwaadaardige campagne, mogelijk verbonden met Domestic Kitten, gericht op het Midden-Oosten, en noemde de campagne Bouncing Golf. Kort daarna, in hetzelfde jaar, Qianxin meldde een campagne voor binnenlandse kittens, opnieuw gericht op Iran. in 2020, 360 kernbeveiliging onthulde bewakingsactiviteiten van Domestic Kitten gericht op anti-regeringsgroepen in het Midden-Oosten. Het laatst bekende openbaar beschikbare rapport is van 2021 door Check Point.

FurBall – Android-malware die bij deze operatie wordt gebruikt sinds het begin van deze campagnes – is gemaakt op basis van de commerciële stalkerware-tool KidLogger. Het lijkt erop dat de FurBall-ontwikkelaars zich lieten inspireren door de open-sourceversie van zeven jaar geleden die beschikbaar is op Github, zoals opgemerkt door Check Point.

Distributie

Deze kwaadaardige Android-applicatie wordt geleverd via een nepwebsite die een legitieme site nabootst die artikelen en boeken aanbiedt die zijn vertaald van het Engels naar het Perzisch (maghaleh.com downloaden). Op basis van de contactgegevens van de legitieme website bieden ze deze service vanuit Iran, wat ons met een groot vertrouwen doet geloven dat de copycat-website zich richt op Iraanse burgers. Het doel van de copycat is om een ​​Android-app aan te bieden om te downloaden nadat je op een knop hebt geklikt die in het Perzisch zegt: "Download de applicatie". De knop heeft het Google Play-logo, maar deze app is niet verkrijgbaar in de Google Play Store; het wordt rechtstreeks van de server van de aanvaller gedownload. De app is geüpload naar VirusTotal, waar een van onze YARA-regels is geactiveerd.

In figuur 1 ziet u een vergelijking van de nep- en legitieme websites.

Figuur 1. Valse website (links) versus de legitieme (rechts)

Gebaseerd op de laatst gewijzigd informatie die beschikbaar is in de open map van de APK-download op de nepwebsite (zie afbeelding 2), kunnen we concluderen dat deze app ten minste sinds 21 juni beschikbaar is om te downloaden^st2021.

Analyse

Dit voorbeeld is geen volledig werkende malware, hoewel alle spywarefunctionaliteit is geïmplementeerd zoals in de vorige versies. Niet alle spyware-functionaliteit kan echter worden uitgevoerd, omdat de app wordt beperkt door de machtigingen die zijn gedefinieerd in zijn AndroidManifest.xml. Als de dreigingsactor de app-machtigingen uitbreidt, zou hij ook in staat zijn om te exfiltreren:

• tekst van klembord,
• apparaat locatie,
• SMS-berichten,
• contacten,
• oproep logs,
• opgenomen telefoongesprekken,
• tekst van alle meldingen van andere apps,
• apparaataccounts,
• lijst met bestanden op het apparaat,
• actieve apps,
• lijst met geïnstalleerde apps, en
• apparaat info.

Het kan ook opdrachten ontvangen om foto's te maken en video op te nemen, waarbij de resultaten worden geüpload naar de C&C-server. De Furball-variant die is gedownload van de copycat-website kan nog steeds opdrachten ontvangen van zijn C&C; het kan echter alleen deze functies uitvoeren:

• exfiltreren contactenlijst,
• krijg toegankelijke bestanden van externe opslag,
• lijst geïnstalleerde apps,
• basisinformatie over het apparaat verkrijgen, en
• apparaataccounts ophalen (lijst met gebruikersaccounts die met het apparaat zijn gesynchroniseerd).

Figuur 3 toont toestemmingsverzoeken die wel door de gebruiker moeten worden geaccepteerd. Deze machtigingen wekken mogelijk niet de indruk een spyware-app te zijn, vooral niet omdat het zich voordoet als een vertaal-app.

Afbeelding 3. Lijst met aangevraagde machtigingen

Na de installatie doet Furball elke 10 seconden een HTTP-verzoek aan zijn C&C-server, met het verzoek om opdrachten uit te voeren, zoals te zien is in het bovenste paneel van figuur 4. Het onderste paneel toont een "er is niets te doen op dit moment"-antwoord van de C&C-server.

Afbeelding 4. Communicatie met C&C-server

Deze nieuwste voorbeelden hebben geen nieuwe functies geïmplementeerd, behalve dat de code een eenvoudige verduistering heeft toegepast. Obfuscatie is te zien in klassenamen, methodenamen, sommige strings, logs en server-URI-paden (waarvoor ook kleine wijzigingen in de backend nodig zouden zijn). Figuur 5 vergelijkt de klassenamen van de oudere Furball-versie en de nieuwe versie, met verduistering.

Figuur 5. Vergelijking van klassenamen van de oudere versie (links) en nieuwe versie (rechts)

Afbeelding 6 en Afbeelding 7 tonen de eerdere verzendenPost en nieuw sndPst functies, met de nadruk op de veranderingen die deze versluiering vereist.

Afbeelding 6. Oudere niet-verduisterde versie van code

Afbeelding 7. De nieuwste code-verduistering

Deze elementaire wijzigingen, als gevolg van deze eenvoudige verduistering, resulteerden in minder detecties op VirusTotal. We vergeleken de detectiepercentages van het monster ontdekt door Check Point vanaf februari 2021 (Figuur 8) met de versluierde versie beschikbaar sinds juni 2021 (Figuur 9).

Afbeelding 8. Niet-verhulde versie van de malware gedetecteerd door 28/64-engines

Afbeelding 9. Verduisterde versie van de malware gedetecteerd door 4/63-engines bij eerste upload naar VirusTotal

Conclusie

De campagne Domestic Kitten is nog steeds actief en gebruikt copycat-websites om Iraanse burgers te targeten. Het doel van de exploitant is enigszins veranderd van het verspreiden van volledige Android-spyware naar een lichtere variant, zoals hierboven beschreven. Het vraagt ​​slechts één opdringerige toestemming - om toegang te krijgen tot contacten - die hoogstwaarschijnlijk onder de radar blijft en niet de verdenking van potentiële slachtoffers wekt tijdens het installatieproces. Dit kan ook de eerste fase zijn van het verzamelen van contacten die kunnen worden gevolgd door spearphishing via sms.

Naast het verminderen van de actieve app-functionaliteit, probeerden de malwareschrijvers het aantal detecties te verminderen door een eenvoudig code-verduisteringsschema te implementeren om hun intenties te verbergen voor mobiele beveiligingssoftware.

IoC's

MITRE ATT&CK-technieken

Deze tafel is gemaakt met behulp van versie 10 van het ATT&CK-raamwerk.