Kampanja Domestic Kitten, ki vohuni za iranskimi državljani z novo zlonamerno programsko opremo FurBall

Raziskovalci podjetja ESET so pred kratkim odkrili novo različico zlonamerne programske opreme Android FurBall, ki se uporablja v kampanji Domestic Kitten, ki jo izvaja skupina APT-C-50. Znano je, da kampanja Domestic Kitten izvaja operacije mobilnega nadzora nad iranskimi državljani in ta nova različica FurBall ni nič drugačna glede ciljanja. Od junija 2021 se distribuira kot aplikacija za prevajanje prek kopije iranskega spletnega mesta, ki ponuja prevedene članke, revije in knjige. Zlonamerna aplikacija je bila naložena v VirusTotal, kjer je sprožila eno od naših pravil YARA (ki se uporablja za razvrščanje in prepoznavanje vzorcev zlonamerne programske opreme), kar nam je dalo možnost, da jo analiziramo.

Ta različica FurBall ima enako funkcijo nadzora kot prejšnje različice; vendar so akterji groženj nekoliko zameglili imena razredov in metod, nize, dnevnike in URI-je strežnika. Ta posodobitev je zahtevala tudi majhne spremembe na strežniku C&C – natančneje imena strežniških skriptov PHP. Ker se funkcionalnost te različice ni spremenila, se zdi, da je glavni namen te posodobitve izogibanje zaznavanju s strani varnostne programske opreme. Vendar pa te spremembe niso vplivale na programsko opremo ESET; Izdelki ESET zaznajo to grožnjo kot Android/Spy.Agent.BWS.

Analizirani vzorec zahteva samo eno vsiljivo dovoljenje – dostop do kontaktov. Razlog bi lahko bil njegov cilj, da ostane pod radarjem; po drugi strani pa tudi menimo, da bi to lahko signaliziralo, da je le predhodna faza napada podvodnega lažnega predstavljanja, izvedenega prek besedilnih sporočil. Če povzročitelj grožnje razširi dovoljenja za aplikacijo, bi bila sposobna izločiti tudi druge vrste podatkov iz prizadetih telefonov, kot so sporočila SMS, lokacija naprave, posneti telefonski klici in še veliko več.

Pregled domačih mačjih mladičev

Skupina APT-C-50 v svoji kampanji Domestic Kitten od leta 2016 izvaja operacije mobilnega nadzora nad iranskimi državljani, kot poroča Check Point leta 2018. Leta 2019 je dr. Trend Micro identificirali zlonamerno kampanjo, ki je morda povezana z Domestic Kitten in cilja na Bližnji vzhod, kampanjo pa poimenovali Bouncing Golf. Kmalu zatem, istega leta, Qianxin je poročal o kampanji Domestic Kitten, ki je spet ciljala na Iran. leta 2020, 360 Core Security razkrila nadzorne dejavnosti Domestic Kitten, usmerjene proti vladnim skupinam na Bližnjem vzhodu. Zadnje znano javno dostopno poročilo je iz leta 2021 Check Point.

FurBall – zlonamerna programska oprema za Android, ki se uporablja v tej operaciji od začetka teh kampanj – je ustvarjena na podlagi komercialnega orodja za zalezovanje KidLogger. Zdi se, da so se razvijalci FurBall zgledovali po odprtokodni različici izpred sedmih let, ki je na voljo na Githubu, kot poudarja Check Point.

distribucija

Ta zlonamerna aplikacija za Android je dostavljena prek lažnega spletnega mesta, ki posnema zakonito spletno mesto, ki ponuja članke in knjige, prevedene iz angleščine v perzijščino (downloadmaghaleh.com). Na podlagi kontaktnih podatkov z zakonitega spletnega mesta zagotavljajo to storitev iz Irana, zaradi česar z veliko zanesljivostjo verjamemo, da spletno mesto posnemovalca cilja na iranske državljane. Namen posnemovalca je ponuditi aplikacijo za Android za prenos po kliku na gumb, ki v perzijščini pravi »Prenesi aplikacijo«. Gumb ima logotip Google Play, ta aplikacija pa je ne na voljo v trgovini Google Play; prenese se neposredno s strežnika napadalca. Aplikacija je bila naložena v VirusTotal, kjer je sprožila eno od naših pravil YARA.

Na sliki 1 lahko vidite primerjavo lažnih in zakonitih spletnih mest.

Slika 1. Lažno spletno mesto (levo) proti zakonitemu (desno)

Na podlagi nazadnje spremenjeno informacije, ki so na voljo v odprtem imeniku za prenos APK na lažni spletni strani (glejte sliko 2), lahko sklepamo, da je ta aplikacija na voljo za prenos vsaj od 21. junija^st, 2021.

Analiza

Ta vzorec ni v celoti delujoča zlonamerna programska oprema, čeprav so vse funkcije vohunske programske opreme implementirane kot v prejšnjih različicah. Vseh funkcij vohunske programske opreme ni mogoče izvesti, ker je aplikacija omejena z dovoljenji, določenimi v AndroidManifest.xml. Če povzročitelj grožnje razširi dovoljenja aplikacije, bi lahko tudi eksfiltriral:

• besedilo iz odložišča,
• lokacija naprave,
• SMS sporočila,
• kontakti,
• dnevniki klicev,
• posneti telefonski klici,
• besedilo vseh obvestil drugih aplikacij,
• računi naprav,
• seznam datotek v napravi,
• zagnane aplikacije,
• seznam nameščenih aplikacij in
• informacije o napravi.

Prejema lahko tudi ukaze za fotografiranje in snemanje videa, rezultati pa se naložijo na C&C strežnik. Različica Furball, prenesena s spletnega mesta copycat, lahko še vedno prejema ukaze od svojega C&C; vendar lahko opravlja le te funkcije:

• izločiti seznam stikov,
• pridobite dostopne datoteke iz zunanjega pomnilnika,
• seznam nameščenih aplikacij,
• pridobiti osnovne informacije o napravi in
• pridobite račune naprave (seznam uporabniških računov, sinhroniziranih z napravo).

Slika 3 prikazuje zahteve za dovoljenja, ki jih mora uporabnik sprejeti. Ta dovoljenja morda ne bodo ustvarila vtisa, da gre za vohunsko programsko opremo, zlasti glede na to, da se predstavlja kot prevajalska aplikacija.

Slika 3. Seznam zahtevanih dovoljenj

Po namestitvi Furball vsakih 10 sekund pošlje zahtevo HTTP svojemu strežniku C&C in zahteva ukaze za izvedbo, kot je razvidno iz zgornje plošče na sliki 4. Spodnja plošča prikazuje odgovor »trenutno ni ničesar za narediti«. C&C strežnik.

Slika 4. Komunikacija s C&C strežnikom

Ti najnovejši vzorci nimajo implementiranih novih funkcij, razen dejstva, da ima koda uporabljeno preprosto zamegljevanje. Zamegljenost je mogoče opaziti v imenih razredov, imenih metod, nekaterih nizih, dnevnikih in poteh URI strežnika (kar bi prav tako zahtevalo majhne spremembe v ozadju). Slika 5 primerja imena razredov starejše različice Furballa in nove različice z zameglitvijo.

Slika 5. Primerjava imen razredov starejše različice (levo) in nove različice (desno)

Slika 6 in slika 7 prikazujeta prejšnjo sendPost in nove sndPst funkcije, s poudarkom na spremembah, ki jih ta zamegljenost zahteva.

Slika 6. Starejša nezakrita različica kode

Slika 7. Najnovejša zamegljenost kode

Te osnovne spremembe so zaradi te preproste zameglitve povzročile manj zaznav na VirusTotal. Primerjali smo stopnje zaznave vzorca, ki ga je odkril Check Point od februarja 2021 (slika 8) z zakrito različico, ki je na voljo od junija 2021 (slika 9).

Slika 8. Nezakrita različica zlonamerne programske opreme, ki jo zaznajo motorji 28/64

Slika 9. Zakrita različica zlonamerne programske opreme, ki so jo zaznali motorji 4/63, ko je bila prvič naložena v VirusTotal

zaključek

Kampanja Domestic Kitten je še vedno aktivna in uporablja posnemovalne spletne strani za ciljanje na iranske državljane. Operaterjev cilj se je nekoliko spremenil od distribucije vohunske programske opreme Android s polnimi funkcijami k lažji različici, kot je opisano zgoraj. Zahteva le eno vsiljivo dovoljenje – za dostop do stikov – najverjetneje ostane pod radarjem in ne pritegne sumov potencialnih žrtev med postopkom namestitve. To je lahko tudi prva faza zbiranja stikov, ki bi ji lahko sledilo lažno predstavljanje prek besedilnih sporočil.

Poleg zmanjšanja aktivne funkcionalnosti aplikacije so pisci zlonamerne programske opreme poskušali zmanjšati število zaznav z implementacijo preproste sheme zakrivanja kode, da bi skrili svoje namere pred mobilno varnostno programsko opremo.

IoC

Tehnike MITER ATT&CK

Ta tabela je bila izdelana z uporabo različica 10 okvira ATT&CK.