Кампанія Domestic Kitten шпигує за громадянами Ірану за допомогою нового шкідливого програмного забезпечення FurBall

Дослідники ESET нещодавно ідентифікували нову версію зловмисного програмного забезпечення для Android FurBall, яке використовується в кампанії Domestic Kitten, яку проводить група APT-C-50. Відомо, що кампанія Domestic Kitten проводить операції мобільного спостереження за громадянами Ірану, і ця нова версія FurBall нічим не відрізняється у своїй спрямованості. З червня 2021 року його розповсюджують як додаток для перекладу через копію іранського веб-сайту, який надає перекладені статті, журнали та книги. Шкідливу програму було завантажено на VirusTotal, де вона запустила одне з наших правил YARA (використовується для класифікації та ідентифікації зразків зловмисного програмного забезпечення), що дало нам можливість проаналізувати її.

Ця версія FurBall має ті ж функції спостереження, що й попередні версії; проте зловмисники дещо приховали імена класів і методів, рядки, журнали та URI серверів. Це оновлення вимагало також невеликих змін на сервері C&C – точніше, назв серверних скриптів PHP. Оскільки функціональність цього варіанту не змінилася, основна мета цього оновлення, здається, полягає в тому, щоб уникнути виявлення програмним забезпеченням безпеки. Однак ці зміни не вплинули на програмне забезпечення ESET; Продукти ESET виявляють цю загрозу як Android/Spy.Agent.BWS.

Проаналізований зразок запитує лише один нав’язливий дозвіл – доступ до контактів. Причиною може бути його мета залишатися поза увагою; з іншого боку, ми також вважаємо, що це може сигналізувати про те, що це лише попередня фаза атаки підманного фішингу, яка здійснюється за допомогою текстових повідомлень. Якщо зловмисник розширить дозволи додатка, він також зможе викрадати інші типи даних із уражених телефонів, як-от SMS-повідомлення, місцезнаходження пристрою, записані телефонні дзвінки та багато іншого.

Огляд домашніх кошенят

Група APT-C-50 у своїй кампанії «Домашнє кошеня» проводить операції мобільного спостереження за громадянами Ірану з 2016 року, як повідомляє Пункт контролю в 2018. У 2019, Компанія Trend Micro виявив зловмисну ​​кампанію, яка, ймовірно, пов’язана з Domestic Kitten, націлену на Близький Схід, назвавши кампанію Bouncing Golf. Незабаром, у тому ж році, Цяньсінь повідомили про кампанію «Домашнє кошеня», яка знову спрямована на Іран. У 2020 році 360 Core Security оприлюднив діяльність компанії Domestic Kitten, спрямовану на антиурядові групи на Близькому Сході. Останній відомий загальнодоступний звіт датується 2021 роком Пункт контролю.

FurBall – зловмисне програмне забезпечення для Android, яке використовується в цій операції з початку цих кампаній – створене на основі комерційного інструменту сталкерського програмного забезпечення KidLogger. Здається, розробників FurBall надихнула версія з відкритим кодом семирічної давнини, доступна на Github, як зазначив Пункт контролю.

розподіл

Ця зловмисна програма для Android доставляється через фальшивий веб-сайт, який імітує законний сайт, який містить статті та книги, перекладені з англійської на перську (downloadmaghaleh.com). Виходячи з контактної інформації з законного веб-сайту, вони надають цю послугу з Ірану, що змушує нас з високою впевненістю вважати, що копіювальний веб-сайт націлений на громадян Ірану. Мета імітатора — запропонувати програму для Android для завантаження після натискання кнопки з написом перською мовою «Завантажити програму». Кнопка має логотип Google Play, але цей додаток є НЕ доступний у магазині Google Play; він завантажується безпосередньо з сервера зловмисника. Програму було завантажено на VirusTotal, де вона активувала одне з наших правил YARA.

На малюнку 1 ви можете побачити порівняння підроблених і законних веб-сайтів.

Малюнок 1. Підроблений веб-сайт (ліворуч) проти законного (праворуч)

На підставі остання зміна інформації, яка доступна у відкритому каталозі завантаження APK на підробленому веб-сайті (див. Малюнок 2), ми можемо зробити висновок, що ця програма доступна для завантаження принаймні з 21 червня^st, 2021.

аналіз

Цей зразок не є повністю робочим зловмисним програмним забезпеченням, хоча всі функції шпигунського програмного забезпечення реалізовано так само, як і в його попередніх версіях. Однак не всі функції шпигунського програмного забезпечення можуть бути виконані, оскільки програма обмежена дозволами, визначеними в її AndroidManifest.xml. Якщо зловмисник розширить дозволи додатка, він також зможе викрасти:

• текст з буфера обміну,
• розташування пристрою,
• СМС повідомлення,
• контакти,
• журнали викликів,
• записані телефонні дзвінки,
• текст усіх сповіщень з інших програм,
• облікові записи пристроїв,
• список файлів на пристрої,
• запущені програми,
• список встановлених програм і
• інформація про пристрій.

Він також може отримувати команди фотографувати та записувати відео, а результати завантажуються на сервер C&C. Варіант Furball, завантажений з веб-сайту copycat, усе ще може отримувати команди від свого C&C; однак він може виконувати лише такі функції:

• ексфільтрувати список контактів,
• отримати доступні файли із зовнішнього сховища,
• список встановлених програм,
• отримати основну інформацію про пристрій і
• отримати облікові записи пристрою (список облікових записів користувачів, синхронізованих із пристроєм).

На малюнку 3 показано запити на дозволи, які користувач має прийняти. Ці дозволи можуть не створювати враження програми-шпигуна, особливо з огляду на те, що вона видається за програму перекладу.

Рисунок 3. Список запитуваних дозволів

Після інсталяції Furball кожні 10 секунд надсилає HTTP-запит до свого C&C-сервера, запитуючи команди для виконання, як можна побачити на верхній панелі рисунка 4. На нижній панелі зображено відповідь «наразі нічого робити». C&C сервер.

Рисунок 4. Зв'язок із C&C сервером

У цих останніх зразках не реалізовано жодних нових функцій, за винятком того факту, що до коду застосовано просту обфускацію. Обфускацію можна помітити в іменах класів, іменах методів, деяких рядках, журналах і шляхах URI сервера (що також вимагало б невеликих змін у серверній частині). На рисунку 5 порівнюються імена класів старішої версії Furball і нової версії з обфускацією.

Малюнок 5. Порівняння назв класів старішої версії (ліворуч) і нової версії (праворуч)

На рисунках 6 і 7 показано попередній варіант sendPost і новий sndPst функції, висвітлюючи зміни, яких вимагає ця обфускація.

Малюнок 6. Стара версія коду без обфускації

Рисунок 7. Остання обфускація коду

Ці елементарні зміни через цю просту обфускацію призвели до зменшення кількості виявлень на VirusTotal. Ми порівняли показники виявлення зразка, виявленого Пункт контролю з лютого 2021 року (Малюнок 8), а обфусцована версія доступна з червня 2021 року (Малюнок 9).

Рисунок 8. Незамаскована версія зловмисного програмного забезпечення, виявлена ​​механізмами 28/64

Малюнок 9. Прихована версія зловмисного програмного забезпечення, виявлена ​​механізмами 4/63 під час першого завантаження на VirusTotal

Висновок

Кампанія «Домашнє кошеня» все ще активна, використовуючи копіювальні веб-сайти для націлювання на громадян Ірану. Мета оператора дещо змінилася з розповсюдження повнофункціонального шпигунського програмного забезпечення Android на легший варіант, як описано вище. Він запитує лише один нав’язливий дозвіл – доступ до контактів – швидше за все, щоб залишатися поза увагою та не викликати підозр потенційних жертв під час процесу встановлення. Це також може бути першим етапом збору контактів, після чого може послідувати підслівник за допомогою текстових повідомлень.

Окрім зменшення функціональності активної програми, розробники зловмисного програмного забезпечення намагалися зменшити кількість виявлень, реалізувавши просту схему обфускації коду, щоб приховати свої наміри від мобільного програмного забезпечення безпеки.

IoCs

Методи MITER ATT & CK

Ця таблиця була побудована за допомогою версія 10 платформи ATT&CK.