Kampania Domestic Kitten szpiegująca obywateli Iranu za pomocą nowego szkodliwego oprogramowania FurBall

Badacze ESET zidentyfikowali niedawno nową wersję złośliwego oprogramowania dla systemu Android FurBall, wykorzystywanego w kampanii Domestic Kitten prowadzonej przez grupę APT-C-50. Wiadomo, że kampania Domestic Kitten prowadzi mobilną inwigilację przeciwko obywatelom Iranu, a ta nowa wersja FurBall nie różni się pod względem celowania. Od czerwca 2021 r. jest rozpowszechniany jako aplikacja tłumaczeniowa za pośrednictwem kopii irańskiej strony internetowej, która udostępnia przetłumaczone artykuły, czasopisma i książki. Złośliwa aplikacja została przesłana do VirusTotal, gdzie uruchomiła jedną z naszych reguł YARA (używaną do klasyfikowania i identyfikowania próbek złośliwego oprogramowania), co dało nam możliwość jej przeanalizowania.

Ta wersja FurBall ma taką samą funkcjonalność nadzoru jak poprzednie wersje; jednak cyberprzestępcy nieco zaciemnili nazwy klas i metod, ciągi, dzienniki i identyfikatory URI serwera. Ta aktualizacja wymagała również niewielkich zmian na serwerze C&C – dokładnie nazw skryptów PHP po stronie serwera. Ponieważ funkcjonalność tego wariantu nie uległa zmianie, wydaje się, że głównym celem tej aktualizacji jest uniknięcie wykrycia przez oprogramowanie zabezpieczające. Modyfikacje te nie miały jednak wpływu na oprogramowanie firmy ESET; Produkty ESET wykrywają to zagrożenie jako Android/Spy.Agent.BWS.

Analizowana próbka prosi tylko o jedno inwazyjne pozwolenie – dostęp do kontaktów. Powodem może być cel pozostania poza zasięgiem radaru; z drugiej strony uważamy, że może to sygnalizować, że jest to tylko faza poprzedzająca atak spearphishingowy przeprowadzony za pośrednictwem wiadomości tekstowych. Jeśli cyberprzestępca rozszerzy uprawnienia aplikacji, będzie również w stanie eksfiltrować inne rodzaje danych z telefonów, których dotyczy problem, takie jak wiadomości SMS, lokalizacja urządzenia, nagrane rozmowy telefoniczne i wiele innych.

Przegląd domowych kotów

Grupa APT-C-50, w ramach kampanii Domestic Kitten, od 2016 roku prowadzi mobilną inwigilację przeciwko obywatelom Iranu, jak donosi Check Point w 2018 r. W 2019 r. Trend Micro zidentyfikował złośliwą kampanię, prawdopodobnie powiązaną z Domestic Kitten, skierowaną na Bliski Wschód, nazywając kampanię Bouncing Golf. Wkrótce potem, w tym samym roku, Qianxin poinformował o kampanii Domestic Kitten ponownie wymierzonej w Iran. W 2020 roku 360 rdzeń bezpieczeństwa ujawnił działania inwigilacyjne Domestic Kitten wymierzone w grupy antyrządowe na Bliskim Wschodzie. Ostatni znany publicznie dostępny raport pochodzi z 2021 r Check Point.

FurBall – złośliwe oprogramowanie na Androida wykorzystywane w tej operacji od początku kampanii – jest tworzone w oparciu o komercyjne narzędzie do stalkerware KidLogger. Wygląda na to, że twórcy FurBall zainspirowali się wersją open-source sprzed siedmiu lat, która jest dostępna na Github, na co zwraca uwagę m.in. Check Point.

Dystrybucja

Ta złośliwa aplikacja na Androida jest dostarczana przez fałszywą stronę internetową podszywającą się pod legalną witrynę, która zawiera artykuły i książki przetłumaczone z angielskiego na perski (pobierzmaghaleh.com). Na podstawie danych kontaktowych z legalnej witryny internetowej świadczą tę usługę z Iranu, co pozwala nam z dużą pewnością wierzyć, że witryna naśladująca jest skierowana do obywateli irańskich. Celem naśladowcy jest udostępnienie aplikacji na Androida do pobrania po kliknięciu przycisku z napisem w języku perskim „Pobierz aplikację”. Przycisk ma logo Google Play, ale ta aplikacja jest nie dostępne w sklepie Google Play; jest pobierany bezpośrednio z serwera atakującego. Aplikacja została przesłana do VirusTotal, gdzie uruchomiła jedną z naszych reguł YARA.

Na rysunku 1 widać porównanie fałszywych i legalnych stron internetowych.

Rysunek 1. Fałszywa strona internetowa (po lewej) a legalna (po prawej)

Na podstawie ostatnio zmodyfikowany informacje, które są dostępne w otwartym katalogu pobierania APK na fałszywej stronie internetowej (patrz rysunek 2), możemy wywnioskować, że ta aplikacja była dostępna do pobrania co najmniej od 21 czerwca^st, 2021.

Analiza

Ta próbka nie jest w pełni działającym złośliwym oprogramowaniem, mimo że wszystkie funkcje oprogramowania szpiegującego są zaimplementowane tak, jak w poprzednich wersjach. Jednak nie wszystkie jego funkcje spyware mogą być uruchomione, ponieważ aplikacja jest ograniczona uprawnieniami określonymi w jej AndroidManifest.xml. Jeśli aktor zagrożenia rozszerzy uprawnienia aplikacji, będzie mógł również eksfiltrować:

• tekst ze schowka,
• lokalizacja urządzenia,
• wiadomości SMS,
• Łączność,
• Dzienniki połączeń,
• nagrane rozmowy telefoniczne,
• tekst wszystkich powiadomień z innych aplikacji,
• konta urządzeń,
• lista plików na urządzeniu,
• działające aplikacje,
• lista zainstalowanych aplikacji i
• informacje o urządzeniu.

Może również odbierać polecenia robienia zdjęć i nagrywania wideo, a wyniki są przesyłane na serwer C&C. Wariant Furball pobrany ze strony naśladowczej nadal może odbierać polecenia ze swojego C&C; może jednak wykonywać tylko te funkcje:

• eksfiltruj listę kontaktów,
• uzyskać dostępne pliki z pamięci zewnętrznej,
• lista zainstalowanych aplikacji,
• uzyskać podstawowe informacje o urządzeniu oraz
• uzyskać konta urządzeń (lista kont użytkowników zsynchronizowanych z urządzeniem).

Rysunek 3 przedstawia prośby o pozwolenie, które muszą zostać zaakceptowane przez użytkownika. Te uprawnienia mogą nie sprawiać wrażenia, że ​​jest to aplikacja szpiegująca, zwłaszcza że podszywa się pod aplikację do tłumaczenia.

Rysunek 3. Lista wymaganych uprawnień

Po instalacji Furball wysyła żądanie HTTP do swojego serwera C&C co 10 sekund, prosząc o polecenia do wykonania, jak widać na górnym panelu na rysunku 4. Dolny panel przedstawia odpowiedź „w tej chwili nie ma nic do zrobienia”. serwer C&C.

Rysunek 4. Komunikacja z serwerem C&C

Te najnowsze próbki nie mają zaimplementowanych nowych funkcji, z wyjątkiem faktu, że kod ma zastosowane proste zaciemnianie. Zaciemnianie można zauważyć w nazwach klas, nazwach metod, niektórych ciągach znaków, dziennikach i ścieżkach identyfikatorów URI serwera (co wymagałoby również niewielkich zmian w zapleczu). Rysunek 5 porównuje nazwy klas starszej wersji Furball i nowej wersji z zaciemnieniem.

Rysunek 5. Porównanie nazw klas starszej wersji (po lewej) i nowej wersji (po prawej)

Rysunek 6 i Rysunek 7 pokazują wcześniejszy wyślijPost i nowe sndPst funkcje, podkreślając zmiany, które wymusza to zaciemnianie.

Rysunek 6. Starsza, niezaciemniona wersja kodu

Rysunek 7. Najnowsze zaciemnianie kodu

Te podstawowe zmiany, wynikające z prostej zaciemniania, spowodowały mniejszą liczbę wykryć na VirusTotal. Porównaliśmy wskaźniki wykrywalności próbki wykrytej przez Check Point od lutego 2021 r. (Rysunek 8) z wersją zaciemnioną dostępną od czerwca 2021 r. (Rysunek 9).

Rysunek 8. Niezaciemniona wersja szkodliwego oprogramowania wykryta przez 28/64 silniki

Rysunek 9. Zamaskowana wersja złośliwego oprogramowania wykryta przez silniki 4/63 podczas pierwszego przesyłania do VirusTotal

Wnioski

Kampania Domestic Kitten jest nadal aktywna, wykorzystując kopie stron internetowych do atakowania obywateli irańskich. Cel operatora zmienił się nieco z rozpowszechniania w pełni funkcjonalnego oprogramowania szpiegującego dla systemu Android na lżejszy wariant, jak opisano powyżej. Żąda tylko jednego natrętnego pozwolenia – na dostęp do kontaktów – najprawdopodobniej pozostanie pod radarem i nie wzbudzi podejrzeń potencjalnych ofiar podczas procesu instalacji. Może to być również pierwszy etap zbierania kontaktów, po którym może nastąpić spearphishing za pośrednictwem wiadomości tekstowych.

Oprócz ograniczenia aktywnej funkcjonalności aplikacji, twórcy szkodliwego oprogramowania próbowali zmniejszyć liczbę wykryć, wdrażając prosty schemat zaciemniania kodu, aby ukryć swoje zamiary przed oprogramowaniem zabezpieczającym urządzenia mobilne.

IoC

Techniki SKOŚNE ATT&CK

Ten stół został zbudowany przy użyciu wersja 10 ATT&CK.