Domestic Kitten-kampanje som spionerer på iranske borgere med ny FurBall malware

ESET-forskere har nylig identifisert en ny versjon av Android-malwaren FurBall som brukes i en Domestic Kitten-kampanje utført av APT-C-50-gruppen. Domestic Kitten-kampanjen er kjent for å utføre mobile overvåkingsoperasjoner mot iranske borgere, og denne nye FurBall-versjonen er ikke annerledes når det gjelder målretting. Siden juni 2021 har den blitt distribuert som en oversettelsesapp via en kopi av et iransk nettsted som gir oversatte artikler, tidsskrifter og bøker. Den ondsinnede appen ble lastet opp til VirusTotal der den utløste en av YARA-reglene våre (brukes til å klassifisere og identifisere skadevareeksempler), som ga oss muligheten til å analysere den.

Denne versjonen av FurBall har samme overvåkingsfunksjonalitet som tidligere versjoner; trusselaktørene tilslørte imidlertid klasse- og metodenavn, strenger, logger og server-URIer. Denne oppdateringen krevde også små endringer på C&C-serveren – nettopp navn på PHP-skript på serversiden. Siden funksjonaliteten til denne varianten ikke har endret seg, ser det ut til at hovedformålet med denne oppdateringen er å unngå oppdagelse av sikkerhetsprogramvare. Disse modifikasjonene har imidlertid ikke hatt noen effekt på ESET-programvaren; ESET-produkter oppdager denne trusselen som Android/Spy.Agent.BWS.

Den analyserte prøven ber om bare én påtrengende tillatelse – å få tilgang til kontakter. Årsaken kan være målet om å holde seg under radaren; på den annen side tror vi også det kan signalisere at det bare er den foregående fasen, av et spearphishing-angrep utført via tekstmeldinger. Hvis trusselaktøren utvider apptillatelsene, vil den også være i stand til å eksfiltrere andre typer data fra berørte telefoner, for eksempel SMS-meldinger, enhetsplassering, innspilte telefonsamtaler og mye mer.

Oversikt over tamkattunger

APT-C-50-gruppen, i sin Domestic Kitten-kampanje, har utført mobile overvåkingsoperasjoner mot iranske borgere siden 2016, som rapportert av Check Point i 2018. I 2019, trend Micro identifiserte en ondsinnet kampanje, muligens knyttet til Domestic Kitten, rettet mot Midtøsten, og kalte kampanjen Bouncing Golf. Kort tid etter, samme år, Qianxin rapporterte en Domestic Kitten-kampanje igjen rettet mot Iran. I 2020, 360 kjernesikkerhet avslørte overvåkingsaktiviteter til Domestic Kitten rettet mot anti-regjeringsgrupper i Midtøsten. Den siste kjente offentlig tilgjengelige rapporten er fra 2021 av Check Point.

FurBall – Android malware brukt i denne operasjonen siden disse kampanjene startet – er laget basert på det kommersielle stalkerware-verktøyet KidLogger. Det ser ut til at FurBall-utviklerne ble inspirert av åpen kildekode-versjonen fra syv år siden som er tilgjengelig på Github, som påpekt av Check Point.

Distribusjon

Denne ondsinnede Android-applikasjonen leveres via et falskt nettsted som etterligner et legitimt nettsted som gir artikler og bøker oversatt fra engelsk til persisk (last ned maghaleh.com). Basert på kontaktinformasjonen fra den legitime nettsiden tilbyr de denne tjenesten fra Iran, noe som får oss til å tro med stor tillit at copycat-nettstedet retter seg mot iranske borgere. Hensikten med copycat er å tilby en Android-app for nedlasting etter å ha klikket på en knapp som sier, på persisk, "Last ned applikasjonen". Knappen har Google Play-logoen, men denne appen er det ikke tilgjengelig fra Google Play-butikken; den lastes ned direkte fra angriperens server. Appen ble lastet opp til VirusTotal der den utløste en av YARA-reglene våre.

I figur 1 kan du se en sammenligning av de falske og legitime nettsidene.

Figur 1. Falsk nettside (venstre) kontra den legitime (høyre)

Basert på sist endret informasjon som er tilgjengelig i APK-nedlastingens åpne katalog på det falske nettstedet (se figur 2), kan vi slutte at denne appen har vært tilgjengelig for nedlasting minst siden 21. juni^st, 2021.

Analyse

Dette eksemplet er ikke fullt fungerende skadelig programvare, selv om all spionprogramfunksjonalitet er implementert som i tidligere versjoner. Ikke all spionvarefunksjonaliteten kan imidlertid utføres, fordi appen er begrenset av tillatelsene som er definert i dens AndroidManifest.xml. Hvis trusselaktøren utvider apptillatelsene, vil den også være i stand til å eksfiltrere:

• tekst fra utklippstavlen,
• enhetsplassering,
• SMS-meldinger,
• kontakter,
• anropslogger,
• innspilte telefonsamtaler,
• tekst til alle varsler fra andre apper,
• enhetskontoer,
• liste over filer på enheten,
• kjører apper,
• liste over installerte apper, og
• enhetsinformasjon.

Den kan også motta kommandoer for å ta bilder og spille inn video, og resultatene lastes opp til C&C-serveren. Furball-varianten som er lastet ned fra copycat-nettstedet kan fortsatt motta kommandoer fra C&C; den kan imidlertid bare utføre disse funksjonene:

• eksfiltrere kontaktliste,
• få tilgjengelige filer fra ekstern lagring,
• liste installerte apper,
• få grunnleggende informasjon om enheten, og
• få enhetskontoer (liste over brukerkontoer synkronisert med enheten).

Figur 3 viser tillatelsesforespørsler som må aksepteres av brukeren. Disse tillatelsene gir kanskje ikke et inntrykk av å være en spyware-app, spesielt gitt at den utgir seg for å være en oversettelsesapp.

Figur 3. Liste over forespurte tillatelser

Etter installasjonen sender Furball en HTTP-forespørsel til sin C&C-server hvert 10. sekund, og ber om kommandoer som skal utføres, som kan sees i det øvre panelet i figur 4. Det nedre panelet viser et "det er ingenting å gjøre for øyeblikket"-svar fra C&C-serveren.

Figur 4. Kommunikasjon med C&C-server

Disse siste prøvene har ingen nye funksjoner implementert, bortsett fra det faktum at koden har enkel tilsløring brukt. Tilsløring kan oppdages i klassenavn, metodenavn, noen strenger, logger og server-URI-baner (som også ville ha krevd små endringer på backend). Figur 5 sammenligner klassenavnene til den eldre Furball-versjonen og den nye versjonen, med obfuskering.

Figur 5. Sammenligning av klassenavn for den eldre versjonen (venstre) og ny versjon (høyre)

Figur 6 og figur 7 viser tidligere send Post og nye sndPst funksjoner, og fremhever endringene som denne uklarheten nødvendiggjør.

Figur 6. Eldre ikke-obfuskert versjon av kode

Figur 7. Den siste kodeobfuskasjonen

Disse elementære endringene, på grunn av denne enkle tilsløringen, resulterte i færre oppdagelser på VirusTotal. Vi sammenlignet deteksjonsratene til prøven oppdaget av Check Point fra februar 2021 (Figur 8) med den obfuskerte versjonen tilgjengelig siden juni 2021 (Figur 9).

Figur 8. Ikke-obfuskert versjon av skadelig programvare oppdaget av 28/64-motorer

Figur 9. Tilsløret versjon av skadelig programvare oppdaget av 4/63-motorer ved første opplasting til VirusTotal

konklusjonen

Domestic Kitten-kampanjen er fortsatt aktiv, og bruker copycat-nettsteder for å målrette mot iranske borgere. Operatørens mål har endret seg litt fra å distribuere fullfunksjons Android-spyware til en lettere variant, som beskrevet ovenfor. Den ber om bare én påtrengende tillatelse – å få tilgang til kontakter – mest sannsynlig for å holde seg under radaren og ikke tiltrekke seg mistanke om potensielle ofre under installasjonsprosessen. Dette kan også være den første fasen av å samle kontakter som kan bli fulgt av spearphishing via tekstmeldinger.

I tillegg til å redusere den aktive app-funksjonaliteten, prøvde skadevareforfatterne å redusere antall oppdagelser ved å implementere et enkelt kodeopplegg for å skjule intensjonene deres fra mobil sikkerhetsprogramvare.

IoCs

MITRE ATT&CK-teknikker

Dette bordet ble bygget vha versjon 10 av ATT&CK-rammeverket.