Now Reading
Domestic Leimen-Kampagne, die iranische Landsmann mit neuer FurBall-Schadsoftware ausspioniert

Domestic Leimen-Kampagne, die iranische Landsmann mit neuer FurBall-Schadsoftware ausspioniert

Domestic Kitten-Kampagne, die iranische Bürger mit neuer FurBall-Malware ausspioniert

Die Domestic Leimen-Kampagne von APT-Kohlenstoff-50 geht weiter und richtet sich an iranische Landsmann mit einer neuen Version welcher FurBall-Schadsoftware, die sich denn Menschenähnlicher Roboter-Übersetzungs-App tarnt

ESET-Forscher nach sich ziehen kürzlich eine neue Version welcher Menschenähnlicher Roboter-Schadsoftware FurBall identifiziert, die in einer von welcher APT-Kohlenstoff-50-Menge durchgeführten Domestic Leimen-Kampagne verwendet wird. Die Domestic Leimen-Kampagne ist zu diesem Zweck prominent, mobile Überwachungsoperationen gegen iranische Landsmann durchzuführen, und ebendiese neue FurBall-Version unterscheidet sich nicht in ihrer Ausrichtung. Seither Rosenmonat 2021 wird es denn Übersetzungs-App mehr als zusammensetzen Plagiator einer iranischen Website vertrieben, die übersetzte Handelsgut, Zeitschriften und Bücher bereitstellt. Die bösartige App wurde gen VirusTotal hochgeladen, wo sie eine unserer YARA-Steuern (zur Klassifizierung und Identifizierung von Schadsoftware-Proben) auslöste, welches uns die Möglichkeit gab, sie zu zergliedern.

Welche Version von FurBall hat die gleiche Überwachungsfunktion wie frühere Versionen; Die Bedrohungsakteure verschleierten jedoch leichtgewichtig Klassen- und Methodennamen, Zeichenfolgen, Protokolle und Server-URIs. Dieses Update erforderte gleichermaßen kleine Änderungen gen dem Kohlenstoff&Kohlenstoff-Server – genauer gesagt Namen von serverseitigen PHP-Skripten. Da sich die Funktionsumfang dieser Variante nicht geändert hat, scheint welcher Hauptzweck dieses Updates darin zu da sein, eine Erkennung durch Sicherheitssoftware zu vermeiden. Welche Änderungen hatten jedoch keine Auswirkungen gen die ESET-Software; ESET-Produkte wiedererkennen ebendiese Gefahr denn Menschenähnlicher Roboter/Spy.Schlapphut.BWS.

Dies analysierte Musterbeispiel fordert nur eine aufdringliche Erlaubnisschein an – den Zugriff gen Kontakte. Jener Grund mag sein Ziel sein, unter dem Radar zu bleiben; Wiederum vertrauen wir gleichermaßen, dass es ein Zeiger darauf sein könnte, dass es sich nur um die vorangehende Winkel eines Spearphishing-Angriffs handelt, welcher mehr als Textnachrichten durchgeführt wird. Wenn welcher Angreifer die App-Berechtigungen erweitert, wäre er gleichermaßen in welcher Position, andere Arten von Statistik von betroffenen Telefonen zu exfiltrieren, wie z. B. SMS-Nachrichtensendung, Gerätestandort, aufgezeichnete Telefonanrufe und vieles mehr.

Kernpunkte dieses Blogposts:

  • Die Domestic Leimen-Kampagne läuft noch und geht mindestens gen dies Jahr 2016 zurück.
  • Es zielt hauptsächlich gen iranische Landsmann ab.
  • Wir nach sich ziehen ein neues, verschleiertes Menschenähnlicher Roboter-Furball-Sample entdeckt, dies in welcher Kampagne verwendet wurde.
  • Es wird mehr als eine Plagiator-Website verbreitet.
  • Die analysierte Probe hat nur eingeschränkte Spionagefunktionen aktiviert, um unter dem Radar zu bleiben.

Syllabus mehr als heimische Kätzchen

Die APT-Kohlenstoff-50-Menge führt im Rahmen ihrer Domestic Leimen-Kampagne seitdem 2016 mobile Überwachungsoperationen gegen iranische Landsmann durch, wie Check Point im Jahr 2018 berichtete. Im Jahr 2019 identifizierte Trend Micro eine böswillige Kampagne, die unter Umständen mit Domestic Leimen in Verpflichtung steht. mit Ausrichtung gen den Nahen Osten und nannte die Kampagne Bouncing Meerbusen. Von kurzer Dauer darauf, im selben Jahr, berichtete Qianxin mehr als eine Domestic Leimen-Kampagne, die erneut gen den Persien abzielte. Im Jahr 2020 enthüllte 360 ​​Core Security Überwachungsaktivitäten von Domestic Leimen, die gen regierungsfeindliche Gruppen im Nahen Osten abzielten. Jener letzte bekannte publik verfügbare Rapport stammt von 2021 von Check Point.

FurBall – Menschenähnlicher Roboter-Schadsoftware, die seitdem Beginn dieser Kampagnen für dieser Operation verwendet wird – basiert gen dem kommerziellen Stalkerware-Tool KidLogger. Es sieht so aus, dass sich die FurBall-Entwickler von welcher Open-Source-Version von vor sieben Jahren inspirieren ließen, die gen Github verfügbar ist, wie Check Point betonte.

Verteilung

Welche bösartige Menschenähnlicher Roboter-Ergreifung wird mehr als eine gefälschte Website bereitgestellt, die eine legitime Website nachahmt, die Handelsgut und Bücher anbietet, die aus dem Englischen ins Persische übersetzt wurden (downloadmaghaleh.com). Basierend gen den Kontaktinformationen von welcher legitimen Website eröffnen sie diesen Tafelgeschirr aus dem Persien an, welches uns zu welcher Behauptung veranlasst, dass die Plagiator-Website mit hoher Zuversicht gen iranische Landsmann abzielt. Jener Zweck des Nachahmers besteht darin, eine Menschenähnlicher Roboter-App zum Download anzubieten, nachdem gen zusammensetzen Button geklickt wurde, gen dem gen Persisch „Download the application“ steht. Die Schaltfläche hat dies Google Play-Logo, ungeachtet ebendiese App ist es nicht verfügbar im Google Play Store; es wird unverblümt vom Server des Angreifers heruntergeladen. Die App wurde gen VirusTotal hochgeladen, wo sie eine unserer YARA-Steuern ausgelöst hat.

In Transformation 1 sehen Sie zusammensetzen Vergleich welcher gefälschten und legitimen Websites.

Transformation 1. Gefälschte Website (sinister) vs. die legitime (rechts)

Basierend gen zuletzt bearbeitet Informationen, die im offenen Verzeichnis des APK-Downloads gen welcher gefälschten Website verfügbar sind (siehe Transformation 2), können wir schließen, dass ebendiese App mindestens seitdem dem 21st2021.

Transformation 2. Offene Verzeichnisinformationen zu Gunsten von die bösartige App

Resümee

Dieses Musterbeispiel ist keine voll funktionsfähige Schadsoftware, obwohl die Gesamtheit Spyware-Funktionen wie in den vorherigen Versionen implementiert sind. Wirklich können nicht die Gesamtheit Spyware-Funktionen umgesetzt werden, da die App durch die darin definierten Berechtigungen eingeschränkt ist AndroidManifest.xml. Wenn welcher Bedrohungsakteur die App-Berechtigungen erweitert, wäre er gleichermaßen in welcher Position zu exfiltrieren:

  • Text aus welcher Zwischenablage,
  • Gerätestandort,
  • SMS-Nachrichtensendung,
  • Kontakte,
  • Anrufprotokolle,
  • aufgezeichnete Telefongespräche,
  • Text aller Benachrichtigungen von anderen Apps,
  • Gerätekonten,
  • verkettete Liste welcher Dateien gen dem Gerät,
  • laufende Apps,
  • verkettete Liste welcher installierten Apps und
  • Geräteinformationen.

Es kann gleichermaßen Befehle zum Verfilmen von Fotos und Videos empfangen, womit die Ergebnisse gen den Kohlenstoff&Kohlenstoff-Server hochgeladen werden. Die von welcher Plagiator-Website heruntergeladene Furball-Variante kann weiterhin Befehle von ihrem Kohlenstoff&Kohlenstoff empfangen; Es kann jedoch nur ebendiese Funktionen bewerkstelligen:

  • Kontaktliste exfiltrieren,
  • Abrufen zugänglicher Dateien von externem Speicher,
  • installierte Apps listen,
  • grundlegende Informationen mehr als dies Gerät erhalten, und
  • Gerätekonten abrufen (verkettete Liste welcher mit dem Gerät synchronisierten Benutzerkonten).

Transformation 3 zeigt Berechtigungsanfragen, die vom Benutzer akzeptiert werden zu tun sein. Welche Berechtigungen erwecken unter Umständen nicht den Eindruck, dass es sich um eine Spyware-App handelt, insbesondere in Anbetracht welcher Tatsache, dass sie sich denn Übersetzungs-App ausgibt.

Transformation 3. verkettete Liste welcher angeforderten Berechtigungen

Nachdem welcher Installation sendet Furball die Gesamtheit 10 Sekunden eine Hypertext Transfer Protocol-Anspruch an seinen Kohlenstoff&Kohlenstoff-Server und fragt nachdem auszuführenden Kommandieren, wie im oberen Zuständigkeitsbereich von Transformation 4 zu sehen ist. Jener untere Zuständigkeitsbereich zeigt eine „Im Moment ist nichts zu tun“-Ergebnis von Furball welcher Kohlenstoff&Kohlenstoff-Server.

Transformation 4. Kommunikation mit dem Kohlenstoff&Kohlenstoff-Server

Welche neuesten Beispiele nach sich ziehen keine neuen Funktionen implementiert, außer welcher Tatsache, dass welcher Identifizierungszeichen einfache Verschleierung angewendet hat. Verschleierung kann in Klassennamen, Methodennamen, einigen Zeichenfolgen, Protokollen und Server-URI-Pfaden entdeckt werden (welches gleichermaßen kleine Änderungen am Backend erfordert hätte). Transformation 5 vergleicht die Klassennamen welcher älteren Furball-Version und welcher neuen Version mit Verschleierung.

Transformation 5. Vergleich welcher Klassennamen welcher älteren Version (sinister) und welcher neuen Version (rechts)

Transformation 6 und Transformation 7 zeigen dies frühere sendPost und neu sndPst Funktionen und hebt die Änderungen hervor, die ebendiese Verschleierung erfordert.

Transformation 6. Ältere nicht verschleierte Codeversion

See Also
Ransomware

Transformation 7. Die neueste Identifizierungszeichen-Verschleierung

Welche elementaren Änderungen führten aufgrund dieser einfachen Verschleierung zu weniger Erkennungen gen VirusTotal. Wir nach sich ziehen die Erkennungsraten welcher entdeckten Probe verglichen Kontrollpunkt ab Februar 2021 (Transformation 8) mit welcher verschleierten Version, die seitdem Rosenmonat 2021 verfügbar ist (Transformation 9).

Transformation 8. Nicht verschleierte Version welcher Schadsoftware, die von 28/64-Engines erkannt wurde

Transformation 9. Verschleierte Version welcher Schadsoftware, die von 4/63-Engines erkannt wurde, denn sie zum ersten Mal gen VirusTotal hochgeladen wurden

Fazit

Die Domestic Leimen-Kampagne ist immer noch lebhaft und nutzt Plagiator-Websites, um iranische Landsmann anzusprechen. Dies Ziel des Betreibers hat sich, wie oben beschrieben, leichtgewichtig von welcher Verbreitung vollwertiger Menschenähnlicher Roboter-Spyware zu einer leichteren Variante geändert. Es fordert nur eine aufdringliche Erlaubnisschein an – um gen Kontakte zuzugreifen –, um sehr wahrscheinlich unter dem Radar zu bleiben und nicht den Verdächtigung potenzieller Todesopfer während des Installationsprozesses zu hervorrufen. Dies könnte gleichermaßen die erste Winkel des Sammelns von Kontakten sein, gen die Spearphishing mehr als Textnachrichten gehorchen könnte.

Neben welcher Reduzierung welcher aktiven App-Funktionsumfang versuchten die Schadsoftware-Autoren, die Menge welcher Erkennungen zu verringern, während sie ein einfaches Identifizierungszeichen-Verschleierungsschema implementierten, um ihre Absichten vor mobiler Sicherheitssoftware zu verbergen.

Nebst Fragen zu unseren gen WeLiveSecurity veröffentlichten Forschungsergebnissen kontaktieren Sie uns bitte schön unter terrorintel@eset.com.

ESET Research bietet gleichermaßen private APT-Intelligence-Berichte und Statistik-Feeds. Nebst Fragen zu diesem Tätigkeit kommen Sie die ESET Threat Intelligence-Seite.

IoCs

SHA-1 Paketnamen Name welcher ESET-Erkennung Darstellung
BF482E86D512DA46126F0E61733BCA4352620176 com.getdoc.freepaaper.dissertation Menschenähnlicher Roboter/Spy.Schlapphut.BWS Schadsoftware, die sich denn سرای مقاله (Übersetzung: Artikelhaus) App ausgibt.

MITRE ATT&CK-Techniken

Welche Tabelle wurde mit Version 10 des ATT&CK-Frameworks erstellt.

Taktik ICH WÜRDE Name Darstellung
Erster Zugriff T1476 Stellen Sie bösartige Apps gen andere Weise fertig FurBall wird mehr als direkte Download-Sinister hinter gefälschten Google Play-Schaltflächen bereitgestellt.
T1444 Maskerade denn legitime Ergreifung Die Copycat-Website bietet Sinister zum Herunterladen von FurBall.
Starrsinn T1402 Rundfunkempfänger FurBall erhält die BOOT_ABGESCHLOSSEN Sendeabsicht zur Beginn beim Gerätestart.
Kenntniserlangung T1418 Anwendungserkennung FurBall kann eine verkettete Liste welcher installierten Anwendungen erhalten.
T1426 Erkennung von Systeminformationen FurBall kann Informationen mehr als dies Gerät extrahieren, einschließlich Gerätetyp, Betriebssystemversion und eindeutige ID.
Sammlung T1432 Greifen Sie gen die Kontaktliste zu FurBall kann die Kontaktliste des Opfers extrahieren.
T1533 Statistik vom lokalen System FurBall kann zugängliche Dateien aus einem externen Speicher extrahieren.
Steuerung und Leistungsnachweis T1436 Oft verwendeter Port FurBall kommuniziert mit dem Kohlenstoff&Kohlenstoff-Server mehr als dies Hypertext Transfer Protocol-Protokoll.
Exfiltration T1437 Standardprotokoll welcher Anwendungsschicht FurBall exfiltriert gesammelte Statistik mehr als dies Standard-Hypertext Transfer Protocol-Protokoll.

What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top