Chiến dịch trong nước Kitten do thám công dân Iran bằng phần mềm độc hại FurBall mới

Các nhà nghiên cứu của ESET gần đây đã xác định được một phiên bản mới của phần mềm độc hại Android FurBall đang được sử dụng trong chiến dịch Mèo con trong nước do nhóm APT-C-50 thực hiện. Chiến dịch Con mèo trong nước được biết là tiến hành các hoạt động giám sát di động chống lại công dân Iran và phiên bản FurBall mới này không khác gì trong việc nhắm mục tiêu. Kể từ tháng 2021 năm XNUMX, nó đã được phân phối dưới dạng một ứng dụng dịch thông qua một bản sao của một trang web Iran cung cấp các bài báo, tạp chí và sách đã dịch. Ứng dụng độc hại đã được tải lên VirusTotal, nơi nó đã kích hoạt một trong các quy tắc YARA của chúng tôi (được sử dụng để phân loại và xác định các mẫu phần mềm độc hại), giúp chúng tôi có cơ hội phân tích nó.

Phiên bản FurBall này có chức năng giám sát giống như các phiên bản trước; tuy nhiên, các tác nhân đe dọa hơi làm xáo trộn tên lớp và phương thức, chuỗi, nhật ký và URI máy chủ. Bản cập nhật này cũng yêu cầu những thay đổi nhỏ trên máy chủ C&C - chính xác là tên của các tập lệnh PHP phía máy chủ. Vì chức năng của biến thể này không thay đổi, mục đích chính của bản cập nhật này dường như là để tránh bị phần mềm bảo mật phát hiện. Tuy nhiên, những sửa đổi này không ảnh hưởng đến phần mềm ESET; Các sản phẩm của ESET phát hiện mối đe dọa này là Android / Spy.Agent.BWS.

Mẫu được phân tích chỉ yêu cầu một quyền xâm nhập - để truy cập danh bạ. Lý do có thể là mục đích của nó là ở dưới tầm ngắm của nó; mặt khác, chúng tôi cũng nghĩ rằng nó có thể báo hiệu đây chỉ là giai đoạn trước, của một cuộc tấn công bằng giáo được thực hiện thông qua tin nhắn văn bản. Nếu kẻ đe dọa mở rộng quyền ứng dụng, nó cũng sẽ có khả năng lấy sạch các loại dữ liệu khác từ các điện thoại bị ảnh hưởng, chẳng hạn như tin nhắn SMS, vị trí thiết bị, cuộc gọi điện thoại đã ghi, v.v.

Tổng quan về mèo con trong nước

Nhóm APT-C-50, trong chiến dịch Con mèo trong nước, đã tiến hành các hoạt động giám sát di động chống lại công dân Iran kể từ năm 2016, theo báo cáo của Check Point vào năm 2018. Vào năm 2019, Trend Micro đã xác định một chiến dịch độc hại, có thể được kết nối với Internal Kitten, nhắm mục tiêu vào Trung Đông, đặt tên cho chiến dịch là Bouncing Golf. Ngay sau đó, cùng năm, Thiên Tân đã báo cáo một chiến dịch Mèo con trong nước một lần nữa nhắm vào Iran. Năm 2020, 360 Core Security tiết lộ các hoạt động giám sát của Kitten trong nước nhắm vào các nhóm chống chính phủ ở Trung Đông. Báo cáo công khai cuối cùng được biết đến là từ năm 2021 bởi Check Point.

FurBall - phần mềm độc hại Android được sử dụng trong hoạt động này kể từ khi các chiến dịch này bắt đầu - được tạo dựa trên công cụ phần mềm theo dõi thương mại KidLogger. Có vẻ như các nhà phát triển FurBall đã lấy cảm hứng từ phiên bản mã nguồn mở từ bảy năm trước, có sẵn trên Github, như được chỉ ra bởi Check Point.

phân phát

Ứng dụng Android độc hại này được phân phối qua một trang web giả mạo bắt chước một trang web hợp pháp cung cấp các bài báo và sách được dịch từ tiếng Anh sang tiếng Ba Tư (tải xuốngmaghaleh.com). Dựa trên thông tin liên hệ từ trang web hợp pháp, họ cung cấp dịch vụ này từ Iran, điều này khiến chúng tôi tin tưởng cao độ rằng trang web sao chép nhắm vào công dân Iran. Mục đích của hành động sao chép này là cung cấp một ứng dụng Android để tải xuống sau khi nhấp vào nút có nội dung "Tải xuống ứng dụng" bằng tiếng Ba Tư. Nút có biểu trưng Google Play, nhưng ứng dụng này không có sẵn từ cửa hàng Google Play; nó được tải xuống trực tiếp từ máy chủ của kẻ tấn công. Ứng dụng đã được tải lên VirusTotal, nơi nó đã kích hoạt một trong các quy tắc YARA của chúng tôi.

Trong Hình 1, bạn có thể thấy sự so sánh giữa các trang web giả mạo và trang web hợp pháp.

Hình 1. Trang web giả mạo (bên trái) so với trang web hợp pháp (bên phải)

Dựa vào Sửa đổi lần cuối thông tin có sẵn trong thư mục mở của tải xuống APK trên trang web giả mạo (xem Hình 2), chúng tôi có thể suy luận rằng ứng dụng này đã có sẵn để tải xuống ít nhất kể từ ngày 21 tháng XNUMX^st, 2021.

nghiên cứu

Mẫu này không phải là phần mềm độc hại hoạt động hoàn toàn, mặc dù tất cả chức năng của phần mềm gián điệp được triển khai như trong các phiên bản trước của nó. Tuy nhiên, không phải tất cả các chức năng phần mềm gián điệp của nó đều có thể được thực thi vì ứng dụng bị giới hạn bởi các quyền được xác định trong AndroidManifest.xml. Nếu tác nhân đe dọa mở rộng quyền ứng dụng, nó cũng sẽ có khả năng lấy cắp:

• văn bản từ khay nhớ tạm,
• vị trí thiết bị,
• Tin nhắn SMS,
• liên lạc,
• Nhật ký cuộc gọi,
• các cuộc gọi điện thoại được ghi lại,
• văn bản của tất cả các thông báo từ các ứng dụng khác,
• tài khoản thiết bị,
• danh sách các tệp trên thiết bị,
• đang chạy các ứng dụng,
• danh sách các ứng dụng đã cài đặt và
• Thông tin thiết bị.

Nó cũng có thể nhận lệnh để chụp ảnh và quay video, với kết quả được tải lên máy chủ C&C. Biến thể Furball được tải xuống từ trang web sao chép vẫn có thể nhận lệnh từ C&C của nó; tuy nhiên, nó chỉ có thể thực hiện các chức năng sau:

• danh sách liên hệ exfiltrate,
• nhận các tệp có thể truy cập từ bộ nhớ ngoài,
• liệt kê các ứng dụng đã cài đặt,
• có được thông tin cơ bản về thiết bị và
• lấy tài khoản thiết bị (danh sách tài khoản người dùng được đồng bộ hóa với thiết bị).

Hình 3 cho thấy các yêu cầu quyền cần được người dùng chấp nhận. Các quyền này có thể không tạo ra ấn tượng về việc là một ứng dụng phần mềm gián điệp, đặc biệt là khi nó được coi là một ứng dụng dịch thuật.

Hình 3. Danh sách các quyền được yêu cầu

Sau khi cài đặt, Furball thực hiện một yêu cầu HTTP đến máy chủ C&C của nó cứ sau 10 giây, yêu cầu thực thi các lệnh, như có thể thấy trong bảng phía trên của Hình 4. Bảng phía dưới mô tả phản hồi “không có việc gì phải làm vào lúc này” từ máy chủ C&C.

Hình 4. Giao tiếp với máy chủ C&C

Các mẫu mới nhất này không có tính năng mới nào được triển khai, ngoại trừ thực tế là mã đã áp dụng tính năng xáo trộn đơn giản. Obfuscation có thể được phát hiện trong tên lớp, tên phương thức, một số chuỗi, nhật ký và đường dẫn URI máy chủ (cũng sẽ yêu cầu những thay đổi nhỏ trên phần phụ trợ). Hình 5 so sánh tên lớp của phiên bản Furball cũ hơn và phiên bản mới, với sự xáo trộn.

Hình 5. So sánh tên lớp của phiên bản cũ hơn (bên trái) và phiên bản mới (bên phải)

Hình 6 và Hình 7 hiển thị sớm hơn gửi bài và mới sndPst chức năng, làm nổi bật những thay đổi mà sự xáo trộn này cần thiết.

Hình 6. Phiên bản cũ hơn của mã không bị xáo trộn

Hình 7. Sự xáo trộn mã mới nhất

Những thay đổi cơ bản này, do sự xáo trộn đơn giản này, dẫn đến ít phát hiện hơn trên VirusTotal. Chúng tôi đã so sánh tỷ lệ phát hiện của mẫu được phát hiện bởi Check Point từ tháng 2021 năm 8 (Hình 2021) với phiên bản xáo trộn có sẵn kể từ tháng 9 năm XNUMX (Hình XNUMX).

Hình 8. Phiên bản không bị xáo trộn của phần mềm độc hại được phát hiện bởi 28/64 engine

Hình 9. Phiên bản xáo trộn của phần mềm độc hại được phát hiện bởi 4/63 engine khi lần đầu tiên tải lên VirusTotal

Kết luận

Chiến dịch Con mèo trong nước vẫn đang hoạt động, sử dụng các trang web sao chép để nhắm mục tiêu vào các công dân Iran. Mục tiêu của nhà điều hành đã thay đổi một chút từ việc phân phối phần mềm gián điệp Android đầy đủ tính năng sang một biến thể nhẹ hơn, như đã mô tả ở trên. Nó chỉ yêu cầu một quyền xâm nhập - truy cập danh bạ - rất có thể nằm trong tầm ngắm và không thu hút sự nghi ngờ của các nạn nhân tiềm năng trong quá trình cài đặt. Đây cũng có thể là giai đoạn đầu tiên của việc thu thập các địa chỉ liên hệ, sau đó có thể là hành động giáo dục thông qua tin nhắn văn bản.

Bên cạnh việc giảm chức năng ứng dụng đang hoạt động của nó, những người viết phần mềm độc hại đã cố gắng giảm số lượng phát hiện bằng cách triển khai một kế hoạch làm xáo trộn mã đơn giản để ẩn khả năng hoạt động của chúng khỏi phần mềm bảo mật di động.

IoC

Kỹ thuật MITER ATT & CK

Bảng này được tạo bằng cách sử dụng phiên bản 10 của khung ATT & CK.