APT-C-50使用新的FurBall恶意软件监视公民

APT 1年前 (2022) admin
560 0 0

关键词

Domestic Kitten、FurBall、虚假网站

APT-C-50仍在继续的Domestic Kitten行动,使用了伪装成Android翻译应用程序的新版本FurBall恶意软件监视公民。

ESET研究人员最近发现了一种新版本的Android恶意软件FurBall,用于APT-C-50进行名为“Domestic Kitten”的行动。自2021年6月以来,它作为翻译应用程序通过一个虚假的网站发布,该网站提供翻译的文章、期刊和书籍。恶意应用程序被上传到VirusTotal后,在那里它触发了YARA规则之一,这使研究人员有机会对其进行分析。
此版本的 FurBall 具有与以前版本相同的监视功能,但是,威胁参与者会稍微混淆类和方法名称、字符串、日志和服务器统一资源标识符。此更新还需要对 C&C 服务器上的PHP 脚本名称进行一些小的更改。由于此版本的功能未更改,因此这次更新的主要目的似乎是避免被安全软件检测到。
分析的样本仅请求一个入侵权限——访问联系人。原因可能是它的目的是在监视状况下也能工作;另一方面,可能表明它只是通过短信进行的鱼叉式网络钓鱼攻击的前一阶段。如果威胁者扩展了应用程序权限,它还将能够从受影响的手机中窃取其他类型的数据,例如SMS消息、设备位置、电话录音等等。
本文要点:
  • 正在进行的Domestic Kitten行动,至少可以追溯到2016年。

  • 发现了用于该活动的一个新的、经过混淆处理的Android Furball样本。

  • 它是使用虚假网站分发的。

  • 分析的样本仅启用了有限的间谍功能,以保持在监视之下也能工作。

1. Domestic Kitten行动概述


2019年,Trend Micro发现了一个针对中东地区的恶意活动,可能与Domestic Kitten有关,并将该活动命名为“弹跳高尔夫”。2020年,360 Core Security披露了针对中东反政府团体的Domestic Kitten监视活动,最后一份已知的公开报告来自2021年的Check Point。
自这些活动开始以来就使用的Android恶意软件FurBall,是基于商业跟踪软件工具KidLogger创建的。正如Check Point所指出的那样,FurBall开发人员似乎受到了七年前在Github上提供的开源版本的启发。
2. 分发


这个恶意的Android应用程序是通过一个模仿合法网站的虚假网站downloadmaghaleh[.]com提供的,该网站提供从英语翻译成波斯语的文章和书籍。模仿者的目的是在点击一个用波斯语说“下载应用程序”的按钮后,提供一个Android应用程序供下载。该按钮有谷歌播放标志,但这个应用程序无法从谷歌Play商店中获得,它是直接从攻击者的服务器下载的。该应用程序被上传到VirusTotal后,在那里它触发了YARA规则之一。
在图 1 中,您可以看到虚假网站和合法网站的比较。
APT-C-50使用新的FurBall恶意软件监视公民
图1:假网站(左)与合法网站(右)
根据虚假网站上APK下载的打开目录中提供的最后一次修改信息(见图2),我们可以推断这个应用程序至少从2021年6月21日开始就可以下载了。
APT-C-50使用新的FurBall恶意软件监视公民
图2:打开恶意应用的目录信息
3. 分析


此样本不是完全运行的恶意软件,即使所有间谍软件功能都像其以前的版本一样实现。但是,并非所有间谍软件功能都可以执行,因为该应用程序受到其AndroidManifest.xml中定义的权限的限制。如果威胁参与者扩展了应用程序权限,则它还能够窃取:
  • 剪贴板中的文本
  • 设备位置
  • 短信
  • 联系人
  • 通话记录
  • 电话录音
  • 来自其他应用程序的所有通知的文本
  • 设备帐户
  • 设备上的文件列表
  • 正在运行的应用程序
  • 已安装应用的列表
  • 设备信息
它还可以接收拍照和录制视频的命令,并将结果上传到C&C服务器。从虚假网站下载的 Furball 新版本仍然可以从 C&C 服务器接收命令;但是,它只能执行以下功能:
  • 窃取联系人列表
  • 从外部存储中获取可访问的文件
  • 列出已安装的应用程序
  • 获取有关设备的基本信息
  • 获取设备帐户(与设备同步的用户帐户列表)
图 3 显示了需要由用户接受的权限请求。这些权限可能不会给人留下间谍软件应用程序的印象,尤其是考虑到它伪装成翻译应用程序。
APT-C-50使用新的FurBall恶意软件监视公民
图3:请求的权限列表
安装后,Furball 每 10 秒向其C&C 服务器发出一个 HTTP 请求,要求执行命令,如图 4 的上部面板所示。下面板描绘了来自 C&C 服务器的“目前无事可做”响应。
APT-C-50使用新的FurBall恶意软件监视公民
图4:与 C&C 服务器通信
这些最新样本除了代码做了简单混淆,没有实现任何新特性。在后端进行小的更改后,可以在类名、方法名、一些字符串、日志和服务器统一资源标识符中发现混淆。图 5 比较了Furball 旧版本的类名和新版本混淆处理后的的类名。
APT-C-50使用新的FurBall恶意软件监视公民
图5:旧版本(左)和新版本(右)的类名比较
图 6 和图 7 显示了早期的 sendPost 和新的 sndPst 函数,突出显示了此混淆所需的更改。
APT-C-50使用新的FurBall恶意软件监视公民

图6:较旧的非混淆版本代码

APT-C-50使用新的FurBall恶意软件监视公民
图7:最新的代码混淆
由于这种简单的混淆,这些基本的更改导致VirusTotal检测的次数减少。我们将Check Point从2021年2月开始发现的样本的检测率(图8)与2021年6月以来可用的混淆版本(图9)进行了比较。
APT-C-50使用新的FurBall恶意软件监视公民
图8:通过28/64引擎检测到的恶意软件的非混淆版本
APT-C-50使用新的FurBall恶意软件监视公民
图9:首次上传到 VirusTotal 时通过4/63 引擎检测到的恶意软件的混淆版本
4. 结论


Domestic Kitten仍在运行,利用虚假网站监视公民。如上所述,攻击者的目标已从分发功能齐全的Android间谍软件到改变为更简洁的版本。它只要求一个入侵权限——访问联系人,很可能在为了在安装过程中保持低调,以免引起潜在受害者的怀疑;还可能是收集联系人的第一阶段,随后可以通过短信进行鱼叉式网络钓鱼。
除了减少其活动的应用程序功能外,恶意软件编写者还试图通过实施简单的代码混淆方案来隐藏其对移动安全软件的意图来减少检测次数。
附录1 MITRE ATT&CK


此表是使用的是 ATT&CK 框架V10的版本。
表1:FurBall策略
策略
ID
名称
描述
首次访问
T1476
通过其他方式交付恶意应用程序
FurBall是通过假的谷歌播放按钮后面的直接下载链接提供的。
T1444
伪装成合法应用程序
虚假网站提供下载 FurBall 的链接。
持久化
T1402
向接收者广播消息
FurBall 接收BOOT_COMPLETED广播,以便在设备启动时激活。
发现
T1418
应用程序发现
FurBall 可以获得已安装应用程序的列表。
T1426
系统信息发现
FurBall 可以提取有关设备的信息,包括设备类型、操作系统版本和唯一 ID。
收集
T1432
访问联系人列表
FurBall 可以提取受害者的联系人列表。
T1533
来自本地系统的数据
FurBall 可以从外部存储中提取可访问的文件。
命令与控制
T1436
常用端口
FurBall使用 HTTP 协议与C&C服务器通信。
窃取
T1437
标准应用层协议
FurBall通过标准 HTTP 协议窃取收集的数据。
附录2 攻击指标


表2:攻击指标
SHA-1
包名
ESET检测名称
描述
BF482E86D512DA46126F0E61733BCA4352620176
com.getdoc.freepaaper.dissertation
Android/Spy.Agent.BWS
Malware impersonating سرایمقاله (translation: Article House) app.


END

参考链接:https://www.welivesecurity.com/2022/10/20/domestic-kitten-campaign-spying-iranian-citizens-furball-malware/m


编辑|张维泽

审校|何双泽、金矢

本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。

APT-C-50使用新的FurBall恶意软件监视公民


原文始发于微信公众号(国家网络威胁情报共享开放平台):APT-C-50使用新的FurBall恶意软件监视公民

版权声明:admin 发表于 2022年11月3日 上午9:50。
转载请注明:APT-C-50使用新的FurBall恶意软件监视公民 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...