Domestic Leimen-Kampagne, die iranische Landsmann mit neuer FurBall-Schadsoftware ausspioniert

ESET-Forscher nach sich ziehen kürzlich eine neue Version welcher Menschenähnlicher Roboter-Schadsoftware FurBall identifiziert, die in einer von welcher APT-Kohlenstoff-50-Menge durchgeführten Domestic Leimen-Kampagne verwendet wird. Die Domestic Leimen-Kampagne ist zu diesem Zweck prominent, mobile Überwachungsoperationen gegen iranische Landsmann durchzuführen, und ebendiese neue FurBall-Version unterscheidet sich nicht in ihrer Ausrichtung. Seither Rosenmonat 2021 wird es denn Übersetzungs-App mehr als zusammensetzen Plagiator einer iranischen Website vertrieben, die übersetzte Handelsgut, Zeitschriften und Bücher bereitstellt. Die bösartige App wurde gen VirusTotal hochgeladen, wo sie eine unserer YARA-Steuern (zur Klassifizierung und Identifizierung von Schadsoftware-Proben) auslöste, welches uns die Möglichkeit gab, sie zu zergliedern.

Welche Version von FurBall hat die gleiche Überwachungsfunktion wie frühere Versionen; Die Bedrohungsakteure verschleierten jedoch leichtgewichtig Klassen- und Methodennamen, Zeichenfolgen, Protokolle und Server-URIs. Dieses Update erforderte gleichermaßen kleine Änderungen gen dem Kohlenstoff&Kohlenstoff-Server – genauer gesagt Namen von serverseitigen PHP-Skripten. Da sich die Funktionsumfang dieser Variante nicht geändert hat, scheint welcher Hauptzweck dieses Updates darin zu da sein, eine Erkennung durch Sicherheitssoftware zu vermeiden. Welche Änderungen hatten jedoch keine Auswirkungen gen die ESET-Software; ESET-Produkte wiedererkennen ebendiese Gefahr denn Menschenähnlicher Roboter/Spy.Schlapphut.BWS.

Dies analysierte Musterbeispiel fordert nur eine aufdringliche Erlaubnisschein an – den Zugriff gen Kontakte. Jener Grund mag sein Ziel sein, unter dem Radar zu bleiben; Wiederum vertrauen wir gleichermaßen, dass es ein Zeiger darauf sein könnte, dass es sich nur um die vorangehende Winkel eines Spearphishing-Angriffs handelt, welcher mehr als Textnachrichten durchgeführt wird. Wenn welcher Angreifer die App-Berechtigungen erweitert, wäre er gleichermaßen in welcher Position, andere Arten von Statistik von betroffenen Telefonen zu exfiltrieren, wie z. B. SMS-Nachrichtensendung, Gerätestandort, aufgezeichnete Telefonanrufe und vieles mehr.

Syllabus mehr als heimische Kätzchen

Die APT-Kohlenstoff-50-Menge führt im Rahmen ihrer Domestic Leimen-Kampagne seitdem 2016 mobile Überwachungsoperationen gegen iranische Landsmann durch, wie Check Point im Jahr 2018 berichtete. Im Jahr 2019 identifizierte Trend Micro eine böswillige Kampagne, die unter Umständen mit Domestic Leimen in Verpflichtung steht. mit Ausrichtung gen den Nahen Osten und nannte die Kampagne Bouncing Meerbusen. Von kurzer Dauer darauf, im selben Jahr, berichtete Qianxin mehr als eine Domestic Leimen-Kampagne, die erneut gen den Persien abzielte. Im Jahr 2020 enthüllte 360 ​​Core Security Überwachungsaktivitäten von Domestic Leimen, die gen regierungsfeindliche Gruppen im Nahen Osten abzielten. Jener letzte bekannte publik verfügbare Rapport stammt von 2021 von Check Point.

FurBall – Menschenähnlicher Roboter-Schadsoftware, die seitdem Beginn dieser Kampagnen für dieser Operation verwendet wird – basiert gen dem kommerziellen Stalkerware-Tool KidLogger. Es sieht so aus, dass sich die FurBall-Entwickler von welcher Open-Source-Version von vor sieben Jahren inspirieren ließen, die gen Github verfügbar ist, wie Check Point betonte.

Verteilung

Welche bösartige Menschenähnlicher Roboter-Ergreifung wird mehr als eine gefälschte Website bereitgestellt, die eine legitime Website nachahmt, die Handelsgut und Bücher anbietet, die aus dem Englischen ins Persische übersetzt wurden (downloadmaghaleh.com). Basierend gen den Kontaktinformationen von welcher legitimen Website eröffnen sie diesen Tafelgeschirr aus dem Persien an, welches uns zu welcher Behauptung veranlasst, dass die Plagiator-Website mit hoher Zuversicht gen iranische Landsmann abzielt. Jener Zweck des Nachahmers besteht darin, eine Menschenähnlicher Roboter-App zum Download anzubieten, nachdem gen zusammensetzen Button geklickt wurde, gen dem gen Persisch „Download the application“ steht. Die Schaltfläche hat dies Google Play-Logo, ungeachtet ebendiese App ist es nicht verfügbar im Google Play Store; es wird unverblümt vom Server des Angreifers heruntergeladen. Die App wurde gen VirusTotal hochgeladen, wo sie eine unserer YARA-Steuern ausgelöst hat.

In Transformation 1 sehen Sie zusammensetzen Vergleich welcher gefälschten und legitimen Websites.

Transformation 1. Gefälschte Website (sinister) vs. die legitime (rechts)

Basierend gen zuletzt bearbeitet Informationen, die im offenen Verzeichnis des APK-Downloads gen welcher gefälschten Website verfügbar sind (siehe Transformation 2), können wir schließen, dass ebendiese App mindestens seitdem dem 21^st2021.

Transformation 2. Offene Verzeichnisinformationen zu Gunsten von die bösartige App

Resümee

Dieses Musterbeispiel ist keine voll funktionsfähige Schadsoftware, obwohl die Gesamtheit Spyware-Funktionen wie in den vorherigen Versionen implementiert sind. Wirklich können nicht die Gesamtheit Spyware-Funktionen umgesetzt werden, da die App durch die darin definierten Berechtigungen eingeschränkt ist AndroidManifest.xml. Wenn welcher Bedrohungsakteur die App-Berechtigungen erweitert, wäre er gleichermaßen in welcher Position zu exfiltrieren:

• Text aus welcher Zwischenablage,
• Gerätestandort,
• SMS-Nachrichtensendung,
• Kontakte,
• Anrufprotokolle,
• aufgezeichnete Telefongespräche,
• Text aller Benachrichtigungen von anderen Apps,
• Gerätekonten,
• verkettete Liste welcher Dateien gen dem Gerät,
• laufende Apps,
• verkettete Liste welcher installierten Apps und
• Geräteinformationen.

Es kann gleichermaßen Befehle zum Verfilmen von Fotos und Videos empfangen, womit die Ergebnisse gen den Kohlenstoff&Kohlenstoff-Server hochgeladen werden. Die von welcher Plagiator-Website heruntergeladene Furball-Variante kann weiterhin Befehle von ihrem Kohlenstoff&Kohlenstoff empfangen; Es kann jedoch nur ebendiese Funktionen bewerkstelligen:

• Kontaktliste exfiltrieren,
• Abrufen zugänglicher Dateien von externem Speicher,
• installierte Apps listen,
• grundlegende Informationen mehr als dies Gerät erhalten, und
• Gerätekonten abrufen (verkettete Liste welcher mit dem Gerät synchronisierten Benutzerkonten).

Transformation 3 zeigt Berechtigungsanfragen, die vom Benutzer akzeptiert werden zu tun sein. Welche Berechtigungen erwecken unter Umständen nicht den Eindruck, dass es sich um eine Spyware-App handelt, insbesondere in Anbetracht welcher Tatsache, dass sie sich denn Übersetzungs-App ausgibt.

Transformation 3. verkettete Liste welcher angeforderten Berechtigungen

Nachdem welcher Installation sendet Furball die Gesamtheit 10 Sekunden eine Hypertext Transfer Protocol-Anspruch an seinen Kohlenstoff&Kohlenstoff-Server und fragt nachdem auszuführenden Kommandieren, wie im oberen Zuständigkeitsbereich von Transformation 4 zu sehen ist. Jener untere Zuständigkeitsbereich zeigt eine „Im Moment ist nichts zu tun“-Ergebnis von Furball welcher Kohlenstoff&Kohlenstoff-Server.

Transformation 4. Kommunikation mit dem Kohlenstoff&Kohlenstoff-Server

Welche neuesten Beispiele nach sich ziehen keine neuen Funktionen implementiert, außer welcher Tatsache, dass welcher Identifizierungszeichen einfache Verschleierung angewendet hat. Verschleierung kann in Klassennamen, Methodennamen, einigen Zeichenfolgen, Protokollen und Server-URI-Pfaden entdeckt werden (welches gleichermaßen kleine Änderungen am Backend erfordert hätte). Transformation 5 vergleicht die Klassennamen welcher älteren Furball-Version und welcher neuen Version mit Verschleierung.

Transformation 5. Vergleich welcher Klassennamen welcher älteren Version (sinister) und welcher neuen Version (rechts)

Transformation 6 und Transformation 7 zeigen dies frühere sendPost und neu sndPst Funktionen und hebt die Änderungen hervor, die ebendiese Verschleierung erfordert.

Transformation 6. Ältere nicht verschleierte Codeversion

Transformation 7. Die neueste Identifizierungszeichen-Verschleierung

Welche elementaren Änderungen führten aufgrund dieser einfachen Verschleierung zu weniger Erkennungen gen VirusTotal. Wir nach sich ziehen die Erkennungsraten welcher entdeckten Probe verglichen Kontrollpunkt ab Februar 2021 (Transformation 8) mit welcher verschleierten Version, die seitdem Rosenmonat 2021 verfügbar ist (Transformation 9).

Transformation 8. Nicht verschleierte Version welcher Schadsoftware, die von 28/64-Engines erkannt wurde

Transformation 9. Verschleierte Version welcher Schadsoftware, die von 4/63-Engines erkannt wurde, denn sie zum ersten Mal gen VirusTotal hochgeladen wurden

Fazit

Die Domestic Leimen-Kampagne ist immer noch lebhaft und nutzt Plagiator-Websites, um iranische Landsmann anzusprechen. Dies Ziel des Betreibers hat sich, wie oben beschrieben, leichtgewichtig von welcher Verbreitung vollwertiger Menschenähnlicher Roboter-Spyware zu einer leichteren Variante geändert. Es fordert nur eine aufdringliche Erlaubnisschein an – um gen Kontakte zuzugreifen –, um sehr wahrscheinlich unter dem Radar zu bleiben und nicht den Verdächtigung potenzieller Todesopfer während des Installationsprozesses zu hervorrufen. Dies könnte gleichermaßen die erste Winkel des Sammelns von Kontakten sein, gen die Spearphishing mehr als Textnachrichten gehorchen könnte.

Neben welcher Reduzierung welcher aktiven App-Funktionsumfang versuchten die Schadsoftware-Autoren, die Menge welcher Erkennungen zu verringern, während sie ein einfaches Identifizierungszeichen-Verschleierungsschema implementierten, um ihre Absichten vor mobiler Sicherheitssoftware zu verbergen.

IoCs

MITRE ATT&CK-Techniken

Welche Tabelle wurde mit Version 10 des ATT&CK-Frameworks erstellt.