APT-C-50'nin, Android çeviri uygulaması görünümündeki FurBall kötü amaçlı yazılımının yeni bir sürümüyle İran vatandaşlarını hedef alan Yurtiçi Yavru Kedi kampanyası devam ediyor
ESET araştırmacıları kısa süre önce, APT-C-50 grubu tarafından yürütülen bir Yurtiçi Yavru Kedi kampanyasında kullanılan Android kötü amaçlı yazılımı FurBall'ın yeni bir sürümünü belirledi. Yerli Yavru Kedi kampanyasının İran vatandaşlarına karşı mobil gözetleme operasyonları yürüttüğü biliniyor ve bu yeni FurBall versiyonunun hedeflemesi farklı değil. Haziran 2021'den bu yana, tercüme edilmiş makaleler, dergiler ve kitaplar sağlayan bir İran web sitesinin taklitçisi aracılığıyla bir çeviri uygulaması olarak dağıtılmaktadır. Kötü amaçlı uygulama, YARA kurallarımızdan birini (kötü amaçlı yazılım örneklerini sınıflandırmak ve tanımlamak için kullanılır) tetiklediği VirusTotal'a yüklendi ve bu da bize onu analiz etme fırsatı verdi.
FurBall'ın bu sürümü, önceki sürümlerle aynı gözetim işlevine sahiptir; ancak, tehdit aktörleri sınıf ve yöntem adlarını, dizileri, günlükleri ve sunucu URI'lerini biraz karıştırdı. Bu güncelleme, C&C sunucusunda da küçük değişiklikler gerektiriyordu – tam olarak, sunucu tarafı PHP komut dosyalarının adları. Bu varyantın işlevselliği değişmediğinden, bu güncellemenin temel amacı güvenlik yazılımı tarafından algılanmayı önlemek gibi görünüyor. Ancak bu değişikliklerin ESET yazılımı üzerinde hiçbir etkisi olmamıştır; ESET ürünleri bu tehdidi Android/Spy.Agent.BWS olarak algılar.
Analiz edilen örnek, kişilere erişmek için yalnızca bir izinsiz izin ister. Sebebi, radarın altında kalma amacı olabilir; Öte yandan, bunun, metin mesajları yoluyla gerçekleştirilen bir zıpkınla kimlik avı saldırısının yalnızca önceki aşaması olduğuna işaret edebileceğini düşünüyoruz. Tehdit aktörü uygulama izinlerini genişletirse, etkilenen telefonlardan SMS mesajları, cihaz konumu, kayıtlı telefon görüşmeleri ve çok daha fazlası gibi diğer veri türlerini de sızdırabilir.
- En az 2016 yılına kadar uzanan Yerli Yavru Kedi kampanyası devam etmektedir.
- Esas olarak İran vatandaşlarını hedef alıyor.
- Kampanyada kullanılan yeni, karmaşık bir Android Furball örneği keşfettik.
- Bir taklitçi web sitesi kullanılarak dağıtılır.
- Analiz edilen örnek, radarın altında kalmak için yalnızca sınırlı casusluk işlevselliğine sahiptir.
Yerli Yavru Kediye genel bakış
APT-C-50 grubu, Yurtiçi Yavru Kedi kampanyasında, 2016'dan beri İran vatandaşlarına karşı mobil gözetleme operasyonları yürütüyor. Check Point 2018 içinde. 2019’te Trend Micro Orta Doğu'yu hedef alan ve muhtemelen Yerli Kitten ile bağlantılı kötü niyetli bir kampanya belirledi ve kampanyaya Bouncing Golf adını verdi. Kısa bir süre sonra, aynı yıl, Qianxin yine İran'ı hedef alan bir Yerli Kitten kampanyası bildirdi. 2020 yılında 360 Çekirdek Güvenlik Yerli Yavru Kedi'nin Orta Doğu'daki hükümet karşıtı grupları hedef alan gözetim faaliyetlerini ifşa etti. Bilinen son kamuya açık rapor 2021 yılına aittir. Check Point.
FurBall – bu kampanyalar başladığından beri bu operasyonda kullanılan Android kötü amaçlı yazılımı – KidLogger ticari takip yazılımı aracı temel alınarak oluşturulmuştur. FurBall geliştiricilerinin, belirttiği gibi, Github'da bulunan yedi yıl önceki açık kaynaklı sürümden ilham aldığı görülüyor. Check Point.
dağıtım
Bu kötü niyetli Android uygulaması, İngilizce'den Farsça'ya çevrilmiş makaleler ve kitaplar sağlayan meşru bir siteyi taklit eden sahte bir web sitesi aracılığıyla teslim edilir (indirmaghaleh.com). Meşru web sitesindeki iletişim bilgilerine dayanarak, bu hizmeti İran'dan sağlıyorlar, bu da taklitçi web sitesinin İran vatandaşlarını hedef aldığına yüksek bir güvenle inanmamızı sağlıyor. Taklitçinin amacı, Farsça "Uygulamayı indir" yazan bir düğmeyi tıkladıktan sonra indirilmek üzere bir Android uygulaması sunmaktır. Düğmede Google Play logosu var, ancak bu uygulama değil Google Play mağazasından edinilebilir; doğrudan saldırganın sunucusundan indirilir. Uygulama, YARA kurallarımızdan birini tetiklediği VirusTotal'a yüklendi.
Şekil 1'de sahte ve yasal web sitelerinin karşılaştırmasını görebilirsiniz.
Şekil 1. Sahte web sitesi (solda) ve meşru web sitesi (sağda)
Göre son düzenleme APK indirmesinin sahte web sitesindeki açık dizininde bulunan bilgiler (bkz. Şekil 2), bu uygulamanın en az 21 Haziran'dan beri indirilmeye hazır olduğu sonucunu çıkarabiliriz.st, 2021.
Analiz
Bu örnek, tüm casus yazılım işlevleri önceki sürümlerinde olduğu gibi uygulanmış olsa da, tam olarak çalışan kötü amaçlı yazılım değildir. Bununla birlikte, uygulama, kendi içinde tanımlanan izinlerle sınırlı olduğundan, casus yazılım işlevlerinin tümü yürütülemez. AndroidManifest.xml. Tehdit aktörü uygulama izinlerini genişletirse, ayrıca şunları da sızdırabilir:
- panodan metin,
- cihaz konumu,
- SMS mesajları,
- kişiler,
- arama kayıtları,
- kayıtlı telefon görüşmeleri,
- diğer uygulamalardan gelen tüm bildirimlerin metni,
- cihaz hesapları,
- cihazdaki dosyaların listesi,
- çalışan uygulamalar,
- yüklü uygulamaların listesi ve
- cihaz bilgisi.
Ayrıca sonuçlar C&C sunucusuna yüklenirken fotoğraf çekmek ve video kaydetmek için komutlar alabilir. Taklitçi web sitesinden indirilen Furball varyantı, C&C'sinden hala komutlar alabilir; ancak, yalnızca şu işlevleri gerçekleştirebilir:
- exfiltrate kişi listesi,
- harici depolamadan erişilebilir dosyalar alın,
- yüklü uygulamaları listele,
- cihazla ilgili temel bilgileri edinin ve
- cihaz hesaplarını al (cihazla senkronize edilmiş kullanıcı hesaplarının listesi).
Şekil 3, kullanıcı tarafından kabul edilmesi gereken izin isteklerini göstermektedir. Bu izinler, özellikle bir çeviri uygulaması olduğu düşünüldüğünde, bir casus yazılım uygulaması izlenimi yaratmayabilir.
Şekil 3. İstenen izinlerin listesi
Kurulumdan sonra Furball, Şekil 10'ün üst panelinde görülebileceği gibi, her 4 saniyede bir C&C sunucusuna bir HTTP isteği yapar ve komutların yürütülmesini ister. C&C sunucusu.
Şekil 4. C&C sunucusuyla iletişim
Bu en son örnekler, kodun basit bir şaşırtmacaya sahip olması dışında, uygulanan yeni özelliklere sahip değildir. Gizleme, sınıf adlarında, yöntem adlarında, bazı dizelerde, günlüklerde ve sunucu URI yollarında (arka uçta küçük değişiklikler de gerektirebilir) fark edilebilir. Şekil 5, eski Furball versiyonunun ve yeni versiyonun sınıf adlarını şaşırtma ile karşılaştırır.
Şekil 5. Eski versiyon (solda) ve yeni versiyonda (sağda) sınıf isimlerinin karşılaştırılması
Şekil 6 ve Şekil 7, önceki gönderi gönder ve yeni sndPst işlevler, bu şaşırtmanın gerektirdiği değişiklikleri vurgular.
Şekil 6. Kodun daha eski, karmaşık olmayan sürümü
Şekil 7. En son kod gizleme
Bu basit karartma nedeniyle bu temel değişiklikler, VirusTotal'da daha az algılamayla sonuçlandı. tarafından keşfedilen örneğin tespit oranlarını karşılaştırdık. Check Point Şubat 2021'den itibaren (Şekil 8) gizlenmiş versiyon Haziran 2021'den beri mevcuttur (Şekil 9).
Şekil 8. 28/64 motorları tarafından algılanan kötü amaçlı yazılımın karartılmamış sürümü
Şekil 9. VirusTotal'a ilk yüklendiğinde 4/63 motorları tarafından algılanan kötü amaçlı yazılımın gizlenmiş sürümü
Sonuç
Yurtiçi Yavru Kedi kampanyası, İran vatandaşlarını hedef almak için taklit web sitelerini kullanan hala aktif. Operatörün hedefi, yukarıda açıklandığı gibi, tam özellikli Android casus yazılımını dağıtmaktan daha hafif bir türe doğru biraz değişti. Yalnızca tek bir müdahaleci izin talep eder – kişilere erişmek için – büyük olasılıkla radarın altında kalmak ve kurulum işlemi sırasında potansiyel kurbanların şüphesini çekmemek için. Bu aynı zamanda, kısa mesajlar yoluyla hedef odaklı kimlik avı izleyebilecek kişileri toplamanın ilk aşaması olabilir.
Aktif uygulama işlevselliğini azaltmanın yanı sıra, kötü amaçlı yazılım yazarları, amaçlarını mobil güvenlik yazılımından gizlemek için basit bir kod gizleme şeması uygulayarak algılama sayısını azaltmaya çalıştı.
ESET Research ayrıca özel APT istihbarat raporları ve veri beslemeleri sunar. Bu hizmetle ilgili herhangi bir sorunuz için şu adresi ziyaret edin: ESET Tehdit İstihbaratı gidin.
IOCs
| SHA-1 | paket Adı | ESET algılama adı | Açıklama |
|---|---|---|---|
| BF482E86D512DA46126F0E61733BCA4352620176 | com.getdoc.freepaaper.dissertation | Android/Spy.Agent.BWS | سرای مقاله uygulamasını taklit eden kötü amaçlı yazılım (çeviri: Makale Evi) uygulaması. |
MITRE ATT&CK teknikleri
Bu tablo kullanılarak yapılmıştır sürümü 10 ATT&CK çerçevesinin
| taktik | ID | Name | Açıklama |
|---|---|---|---|
| İlk Erişim | T1476 | Kötü Amaçlı Uygulamayı Başka Yollardan İletin | FurBall, sahte Google Play düğmelerinin arkasındaki doğrudan indirme bağlantıları aracılığıyla teslim edilir. |
| T1444 | Meşru Uygulama Olarak Maskeli Balo | Copycat web sitesi FurBall'ı indirmek için bağlantılar sağlar. | |
| Sebat | T1402 | Yayın Alıcıları | FurBall alır BOOT_COMPLETED cihaz başlangıcında etkinleştirme amacını yayınlayın. |
| Keşif | T1418 | Uygulama Keşfi | FurBall, kurulu uygulamaların bir listesini alabilir. |
| T1426 | Sistem Bilgisi Keşfi | FurBall, cihaz türü, işletim sistemi sürümü ve benzersiz kimlik dahil olmak üzere cihaz hakkında bilgi alabilir. | |
| Koleksiyon | T1432 | Kişi Listesine Erişim | FurBall, kurbanın kişi listesini çıkarabilir. |
| T1533 | Yerel Sistemden Veriler | FurBall, erişilebilir dosyaları harici depolama alanından çıkarabilir. | |
| Komuta ve kontrol | T1436 | Yaygın Olarak Kullanılan Bağlantı Noktası | FurBall, HTTP protokolünü kullanarak C&C sunucusuyla iletişim kurar. |
| dumping | T1437 | Standart Uygulama Katmanı Protokolü | FurBall, toplanan verileri standart HTTP protokolü üzerinden sızdırır. |
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- iç güvenlik bakanlığı
- dijital cüzdanlar
- ESET Araştırması
- güvenlik duvarı
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- VPN
- Güvenliği Yaşıyoruz
- web sitesi güvenliği
- zefirnet
