APT-C-50 کی گھریلو بلی کے بچوں کی مہم جاری ہے، جس میں ایرانی شہریوں کو FurBall میلویئر کے نئے ورژن کے ساتھ نشانہ بنایا جا رہا ہے جو ایک اینڈرائیڈ ترجمہ ایپ کے طور پر چھپا رہا ہے۔
ESET محققین نے حال ہی میں APT-C-50 گروپ کے ذریعے چلائی جانے والی گھریلو بلی کے بچے کی مہم میں استعمال ہونے والے اینڈرائیڈ میلویئر فر بال کے ایک نئے ورژن کی نشاندہی کی۔ گھریلو بلی کے بچے کی مہم ایرانی شہریوں کے خلاف موبائل سرویلنس آپریشنز کرنے کے لیے جانا جاتا ہے اور یہ نیا FurBall ورژن اپنے ہدف میں کچھ مختلف نہیں ہے۔ جون 2021 سے، اسے ایک ایرانی ویب سائٹ کی کاپی کیٹ کے ذریعے ترجمہ ایپ کے طور پر تقسیم کیا گیا ہے جو ترجمہ شدہ مضامین، جرائد اور کتابیں فراہم کرتی ہے۔ بدنیتی پر مبنی ایپ VirusTotal پر اپ لوڈ کی گئی تھی جہاں اس نے ہمارے YARA قوانین میں سے ایک کو متحرک کیا (جو میلویئر کے نمونوں کی درجہ بندی اور شناخت کے لیے استعمال کیا جاتا ہے)، جس سے ہمیں اس کا تجزیہ کرنے کا موقع ملا۔
FurBall کے اس ورژن میں پچھلے ورژن کی طرح ہی نگرانی کی فعالیت ہے۔ تاہم، دھمکی دینے والے اداکاروں نے کلاس اور طریقہ کار کے ناموں، تاروں، لاگز، اور سرور URIs کو قدرے مبہم کر دیا۔ اس اپ ڈیٹ کے لیے C&C سرور پر بھی چھوٹی تبدیلیاں درکار ہیں - بالکل، سرور کی طرف پی ایچ پی اسکرپٹس کے نام۔ چونکہ اس ویرینٹ کی فعالیت میں کوئی تبدیلی نہیں آئی ہے، اس لیے اس اپ ڈیٹ کا بنیادی مقصد سیکیورٹی سافٹ ویئر کے ذریعے پتہ لگانے سے بچنا ہے۔ ان ترامیم کا ESET سافٹ ویئر پر کوئی اثر نہیں پڑا، تاہم؛ ESET پروڈکٹس اس خطرے کو Android/Spy.Agent.BWS کے طور پر پہچانتے ہیں۔
تجزیہ کردہ نمونہ صرف ایک مداخلتی اجازت کی درخواست کرتا ہے - رابطوں تک رسائی کے لیے۔ اس کی وجہ ریڈار کے نیچے رہنا اس کا مقصد ہو سکتا ہے۔ دوسری طرف، ہم یہ بھی سوچتے ہیں کہ یہ ٹیکسٹ میسجز کے ذریعے کیے جانے والے نیزہ بازی کے حملے کا محض سابقہ مرحلہ ہے۔ اگر دھمکی آمیز اداکار ایپ کی اجازتوں کو بڑھاتا ہے، تو یہ متاثرہ فونز سے دیگر قسم کے ڈیٹا کو نکالنے کے قابل بھی ہوگا، جیسے کہ ایس ایم ایس پیغامات، ڈیوائس لوکیشن، ریکارڈ شدہ فون کالز، اور بہت کچھ۔
- گھریلو بلی کے بچے کی مہم جاری ہے، جو کم از کم 2016 کی ہے۔
- یہ بنیادی طور پر ایرانی شہریوں کو نشانہ بناتا ہے۔
- ہم نے مہم میں استعمال ہونے والا ایک نیا، مبہم Android Furball کا نمونہ دریافت کیا۔
- یہ کاپی کیٹ ویب سائٹ کا استعمال کرتے ہوئے تقسیم کیا جاتا ہے۔
- تجزیہ کردہ نمونے میں راڈار کے نیچے رہنے کے لیے صرف جاسوسی کی فعالیت کو محدود کیا گیا ہے۔
گھریلو بلی کے بچے کا جائزہ
APT-C-50 گروپ، اپنی گھریلو بلی کے بچوں کی مہم میں، 2016 سے ایرانی شہریوں کے خلاف موبائل نگرانی کی کارروائیاں کر رہا ہے، جیسا کہ رپورٹ کے مطابق پوائنٹ چیک کریں 2018 میں۔ 2019 میں، رجحان مائیکرو نے ایک بدنیتی پر مبنی مہم کی نشاندہی کی، جو ممکنہ طور پر گھریلو بلی کے بچے سے منسلک ہے، جس نے مشرق وسطیٰ کو نشانہ بنایا، مہم کو باؤنسنگ گالف کا نام دیا۔ تھوڑی دیر بعد، اسی سال، Qianxin ایک بار پھر ایران کو نشانہ بنانے والی گھریلو بلی کے بچوں کی مہم کی اطلاع دی۔ 2020 میں، 360 کور سیکیورٹی مشرق وسطی میں حکومت مخالف گروہوں کو نشانہ بنانے والے گھریلو بلی کے بچے کی نگرانی کی سرگرمیوں کا انکشاف۔ آخری معلوم عوامی طور پر دستیاب رپورٹ 2021 کی ہے۔ پوائنٹ چیک کریں.
FurBall – جب سے یہ مہم شروع ہوئی ہے اس آپریشن میں استعمال ہونے والا اینڈرائیڈ میلویئر – تجارتی سٹالکر ویئر ٹول KidLogger کی بنیاد پر بنایا گیا ہے۔ ایسا لگتا ہے کہ فر بال ڈویلپرز سات سال پہلے کے اوپن سورس ورژن سے متاثر ہوئے تھے جو گیتھب پر دستیاب ہے، جیسا کہ اس نے بتایا پوائنٹ چیک کریں.
ڈسٹری
یہ بدنیتی پر مبنی اینڈرائیڈ ایپلیکیشن ایک جعلی ویب سائٹ کے ذریعے ڈیلیور کی گئی ہے جو ایک جائز سائٹ کی نقل کرتی ہے جو انگریزی سے فارسی میں ترجمہ شدہ مضامین اور کتابیں فراہم کرتی ہے۔maghaleh.com ڈاؤن لوڈ کریں۔)۔ جائز ویب سائٹ سے رابطے کی معلومات کی بنیاد پر، وہ ایران سے یہ سروس فراہم کرتے ہیں، جس کی وجہ سے ہمیں بڑے اعتماد کے ساتھ یقین ہوتا ہے کہ کاپی کیٹ ویب سائٹ ایرانی شہریوں کو نشانہ بناتی ہے۔ کاپی کیٹ کا مقصد ایک بٹن پر کلک کرنے کے بعد ڈاؤن لوڈ کے لیے ایک اینڈرائیڈ ایپ پیش کرنا ہے جس پر فارسی میں لکھا ہے، "ایپلی کیشن ڈاؤن لوڈ کریں"۔ بٹن میں گوگل پلے کا لوگو ہے، لیکن یہ ایپ ہے۔ نوٹ گوگل پلے اسٹور سے دستیاب؛ اسے حملہ آور کے سرور سے براہ راست ڈاؤن لوڈ کیا جاتا ہے۔ ایپ VirusTotal پر اپ لوڈ کی گئی تھی جہاں اس نے ہمارے YARA کے قوانین میں سے ایک کو متحرک کیا۔
شکل 1 میں آپ جعلی اور جائز ویب سائٹس کا موازنہ دیکھ سکتے ہیں۔
شکل 1. جعلی ویب سائٹ (بائیں) بمقابلہ جائز ویب سائٹ (دائیں)
کی بنیاد پر آخری ترمیم وہ معلومات جو جعلی ویب سائٹ پر APK ڈاؤن لوڈ کی اوپن ڈائرکٹری میں دستیاب ہے (تصویر 2 دیکھیں)، ہم اندازہ لگا سکتے ہیں کہ یہ ایپ کم از کم 21 جون سے ڈاؤن لوڈ کے لیے دستیاب ہے۔st2021.
تجزیہ
یہ نمونہ میلویئر پوری طرح سے کام نہیں کر رہا ہے، حالانکہ اس کے پچھلے ورژن کی طرح تمام سپائی ویئر کی فعالیت کو نافذ کیا گیا ہے۔ تاہم، اس کی تمام اسپائی ویئر کی فعالیت کو انجام نہیں دیا جا سکتا، کیونکہ ایپ اس میں بیان کردہ اجازتوں سے محدود ہے۔ AndroidManifest.xml. اگر دھمکی آمیز اداکار ایپ کی اجازتوں کو بڑھاتا ہے، تو یہ بھی باہر نکلنے کے قابل ہو گا:
- کلپ بورڈ سے متن،
- ڈیوائس کا مقام،
- ایس ایم ایس پیغامات،
- رابطے،
- کال لاگز ،
- ریکارڈ شدہ فون کالز،
- دیگر ایپس سے تمام اطلاعات کا متن،
- ڈیوائس اکاؤنٹس،
- ڈیوائس پر فائلوں کی فہرست،
- چلنے والی ایپس،
- انسٹال کردہ ایپس کی فہرست، اور
- آلہ کی معلومات.
یہ تصاویر لینے اور ویڈیو ریکارڈ کرنے کے لیے کمانڈ بھی حاصل کر سکتا ہے، جس کے نتائج C&C سرور پر اپ لوڈ کیے جا رہے ہیں۔ کاپی کیٹ ویب سائٹ سے ڈاؤن لوڈ کردہ Furball ویرینٹ اب بھی اپنے C&C سے کمانڈز وصول کر سکتا ہے۔ تاہم، یہ صرف ان افعال کو انجام دے سکتا ہے:
- رابطے کی فہرست سے باہر نکلنا،
- بیرونی اسٹوریج سے قابل رسائی فائلیں حاصل کریں،
- انسٹال کردہ ایپس کی فہرست،
- ڈیوائس کے بارے میں بنیادی معلومات حاصل کریں، اور
- ڈیوائس اکاؤنٹس حاصل کریں (آلہ کے ساتھ مطابقت پذیر صارف اکاؤنٹس کی فہرست)۔
شکل 3 اجازت کی درخواستوں کو ظاہر کرتا ہے جو صارف کو قبول کرنے کی ضرورت ہے۔ یہ اجازتیں اسپائی ویئر ایپ ہونے کا تاثر پیدا نہیں کر سکتی ہیں، خاص طور پر یہ دیکھتے ہوئے کہ یہ ایک ترجمہ ایپ کے طور پر سامنے آتی ہے۔
تصویر 3. درخواست کردہ اجازتوں کی فہرست
انسٹالیشن کے بعد، Furball ہر 10 سیکنڈ میں اپنے C&C سرور سے ایک HTTP درخواست کرتا ہے، جس پر عمل کرنے کے لیے کمانڈ مانگتا ہے، جیسا کہ شکل 4 کے اوپری پینل میں دیکھا جا سکتا ہے۔ نچلے پینل میں "اس وقت کرنے کے لیے کچھ نہیں ہے" کے جواب کو دکھایا گیا ہے۔ C&C سرور۔
تصویر 4. C&C سرور کے ساتھ مواصلت
ان تازہ ترین نمونوں میں کوئی نئی خصوصیات لاگو نہیں کی گئی ہیں، سوائے اس حقیقت کے کہ کوڈ میں سادہ مبہم لاگو ہے۔ کلاس کے ناموں، طریقہ کار کے ناموں، کچھ تاروں، نوشتہ جات، اور سرور URI راستوں (جس میں پسدید میں چھوٹی تبدیلیاں بھی ضروری ہوں گی) میں اوباسکیشن کو دیکھا جا سکتا ہے۔ شکل 5 فربال کے پرانے ورژن اور نئے ورژن کے کلاس ناموں کا موازنہ کرتا ہے۔
تصویر 5. پرانے ورژن (بائیں) اور نئے ورژن (دائیں) کے کلاس ناموں کا موازنہ
شکل 6 اور شکل 7 پہلے دکھاتے ہیں۔ بھیجیں اور نیا sndPst افعال، ان تبدیلیوں کو اجاگر کرتے ہیں جن کی اس مبہمیت کی ضرورت ہے۔
شکل 6. کوڈ کا پرانا غیر مبہم ورژن
تصویر 7. تازہ ترین کوڈ کی الجھن
یہ ابتدائی تبدیلیاں، اس سادہ الجھن کی وجہ سے، وائرس ٹوٹل پر کم پتہ لگانے کے نتیجے میں۔ ہم نے دریافت کردہ نمونے کی کھوج کی شرحوں کا موازنہ کیا۔ پوائنٹ چیک کریں فروری 2021 سے (شکل 8) جون 2021 سے دستیاب مبہم ورژن کے ساتھ (شکل 9)۔
تصویر 8. 28/64 انجنوں کے ذریعے پتہ چلنے والے میلویئر کا غیر مبہم ورژن
تصویر 9. وائرس ٹوٹل پر پہلی بار اپ لوڈ کرنے پر 4/63 انجنوں کے ذریعے میلویئر کا مبہم ورژن پتہ چلا
نتیجہ
ڈومیسٹک کِٹن مہم اب بھی سرگرم ہے، ایرانی شہریوں کو نشانہ بنانے کے لیے کاپی کیٹ ویب سائٹس کا استعمال کر رہی ہے۔ جیسا کہ اوپر بیان کیا گیا ہے، آپریٹر کا ہدف مکمل خصوصیات والے Android اسپائی ویئر کو ہلکے قسم میں تقسیم کرنے سے تھوڑا سا بدل گیا ہے۔ یہ صرف ایک مداخلت کی اجازت کی درخواست کرتا ہے - رابطوں تک رسائی کے لیے - زیادہ تر امکان ہے کہ وہ ریڈار کے نیچے رہیں اور تنصیب کے عمل کے دوران ممکنہ متاثرین کے شکوک کو اپنی طرف متوجہ نہ کریں۔ یہ رابطوں کو جمع کرنے کا پہلا مرحلہ بھی ہو سکتا ہے جس کے بعد ٹیکسٹ پیغامات کے ذریعے نیزہ بازی کی جا سکتی ہے۔
اس کی فعال ایپ کی فعالیت کو کم کرنے کے علاوہ، میلویئر لکھنے والوں نے موبائل سیکیورٹی سافٹ ویئر سے اپنے ارادوں کو چھپانے کے لیے ایک سادہ کوڈ مبہم اسکیم کو لاگو کرکے پتہ لگانے کی تعداد کو کم کرنے کی کوشش کی۔
ESET ریسرچ نجی APT انٹیلی جنس رپورٹس اور ڈیٹا فیڈز بھی پیش کرتی ہے۔ اس سروس کے بارے میں کسی بھی استفسار کے لیے، ملاحظہ کریں۔ ای ایس ای ٹی تھریٹ انٹیلی جنس صفحہ.
آئی او سیز
| ان شاء 1 | پیکیج کا نام | ESET پتہ لگانے کا نام | Description |
|---|---|---|---|
| BF482E86D512DA46126F0E61733BCA4352620176 | com.getdoc.freepaaper.dissertation | Android/Spy.Agent.BWS | مالویئر کی نقالی سرای مضمون (ترجمہ: آرٹیکل ہاؤس) ایپ۔ |
MITER ATT&CK تکنیک
یہ میز استعمال کرتے ہوئے بنایا گیا تھا۔ ورژن 10 اے ٹی ٹی اینڈ سی کے فریم ورک کا۔
| حربہ | ID | نام | Description |
|---|---|---|---|
| ابتدائی رسائی | T1476 | نقصان دہ ایپ کو دوسرے ذرائع سے ڈیلیور کریں۔ | FurBall جعلی گوگل پلے بٹنوں کے پیچھے براہ راست ڈاؤن لوڈ لنکس کے ذریعے ڈیلیور کیا جاتا ہے۔ |
| T1444 | جائز درخواست کے طور پر بہانا | Copycat ویب سائٹ FurBall کو ڈاؤن لوڈ کرنے کے لیے لنک فراہم کرتی ہے۔ | |
| مسلسل | T1402 | براڈ کاسٹ وصول کنندہ | FurBall وصول کرتا ہے BOOT_COMPLETED آلہ کے آغاز پر چالو کرنے کا ارادہ نشر کریں۔ |
| ڈسکوری | T1418 | درخواست کی دریافت | FurBall انسٹال کردہ ایپلیکیشنز کی فہرست حاصل کر سکتا ہے۔ |
| T1426 | سسٹم انفارمیشن ڈسکوری | FurBall ڈیوائس کے بارے میں معلومات نکال سکتا ہے بشمول ڈیوائس کی قسم، OS ورژن، اور منفرد ID۔ | |
| جمعکاری | T1432 | رابطے کی فہرست تک رسائی حاصل کریں۔ | FurBall شکار کی رابطہ فہرست نکال سکتا ہے۔ |
| T1533 | لوکل سسٹم سے ڈیٹا | FurBall بیرونی اسٹوریج سے قابل رسائی فائلیں نکال سکتا ہے۔ | |
| کمانڈ اور کنٹرول | T1436 | عام طور پر استعمال شدہ پورٹ | FurBall HTTP پروٹوکول کا استعمال کرتے ہوئے C&C سرور کے ساتھ بات چیت کرتا ہے۔ |
| جلاوطنی | T1437 | معیاری ایپلیکیشن لیئر پروٹوکول | FurBall معیاری HTTP پروٹوکول پر جمع کردہ ڈیٹا کو خارج کرتا ہے۔ |
