Campagna di Domestic Kitten che spia i cittadini iraniani con il nuovo malware FurBall

Continua la campagna Domestic Kitten di APT-C-50, che prende di mira i cittadini iraniani con una nuova versione del malware FurBall mascherato da app di traduzione Android

I ricercatori ESET hanno recentemente identificato una nuova versione del malware Android FurBall utilizzato in una campagna di gattini domestici condotta dal gruppo APT-C-50. La campagna Domestic Kitten è nota per condurre operazioni di sorveglianza mobile contro cittadini iraniani e questa nuova versione di FurBall non è diversa nel suo targeting. Da giugno 2021 è stata distribuita come app di traduzione tramite un copione di un sito Web iraniano che fornisce articoli, giornali e libri tradotti. L’app dannosa è stata caricata su VirusTotal dove ha attivato una delle nostre regole YARA (usate per classificare e identificare i campioni di malware), che ci ha dato l’opportunità di analizzarla.

Questa versione di FurBall ha le stesse funzionalità di sorveglianza delle versioni precedenti; tuttavia, gli attori delle minacce hanno leggermente offuscato i nomi di classi e metodi, le stringhe, i log e gli URI del server. Questo aggiornamento ha richiesto anche piccole modifiche al server C&C, precisamente i nomi degli script PHP lato server. Poiché la funzionalità di questa variante non è cambiata, lo scopo principale di questo aggiornamento sembra essere quello di evitare il rilevamento da parte del software di sicurezza. Tuttavia, queste modifiche non hanno avuto alcun effetto sul software ESET; I prodotti ESET rilevano questa minaccia come Android/Spy.Agent.BWS.

Il campione analizzato richiede solo un’autorizzazione intrusiva: accedere ai contatti. Il motivo potrebbe essere il suo scopo di rimanere sotto il radar; d’altra parte, pensiamo anche che possa segnalare che si tratta solo della fase precedente, di un attacco di spearphishing condotto tramite sms. Se l’attore della minaccia espande le autorizzazioni dell’app, sarebbe anche in grado di esfiltrare altri tipi di dati dai telefoni interessati, come messaggi SMS, posizione del dispositivo, telefonate registrate e molto altro.

Punti chiave di questo post sul blog:

  • È in corso la campagna Domestic Kitten, che risale almeno al 2016.
  • Si rivolge principalmente ai cittadini iraniani.
  • Abbiamo scoperto un nuovo esempio di Android Furball offuscato utilizzato nella campagna.
  • È distribuito utilizzando un sito Web copycat.
  • Il campione analizzato ha abilitato solo la funzionalità di spionaggio limitata, per rimanere sotto il radar.

Panoramica del gattino domestico

Il gruppo APT-C-50, nella sua campagna Domestic Kitten, conduce operazioni di sorveglianza mobile contro cittadini iraniani dal 2016, come riportato da Check Point nel 2018. Nel 2019, Trend Micro ha identificato una campagna dannosa, probabilmente collegata a Domestic Kitten, mirando al Medio Oriente, nominando la campagna Bouncing Golf. Poco dopo, nello stesso anno, Qianxin riferì di una campagna di gattini domestici contro l’Iran. Nel 2020, 360 Core Security ha rivelato le attività di sorveglianza di Domestic Kitten nei confronti di gruppi antigovernativi in ​​Medio Oriente. L’ultimo rapporto noto pubblicamente disponibile è del 2021 di Check Point.

FurBall, il malware Android utilizzato in questa operazione dall’inizio di queste campagne, è stato creato sulla base dello strumento di stalkerware commerciale KidLogger. Sembra che gli sviluppatori di FurBall si siano ispirati alla versione open-source di sette anni fa che è disponibile su Github, come sottolineato da Check Point.

Distribuzione

Questa applicazione Android dannosa viene fornita tramite un sito Web falso che imita un sito legittimo che fornisce articoli e libri tradotti dall’inglese al persiano (downloadmaghaleh.com). Sulla base delle informazioni di contatto del sito Web legittimo, forniscono questo servizio dall’Iran, il che ci porta a credere con grande sicurezza che il sito Web emulatore prende di mira i cittadini iraniani. Lo scopo del copycat è quello di offrire un’app Android da scaricare dopo aver cliccato su un pulsante che dice, in persiano, “Scarica l’applicazione”. Il pulsante ha il logo di Google Play, ma questa app lo è non disponibile dal Google Play Store; viene scaricato direttamente dal server dell’attaccante. L’app è stata caricata su VirusTotal dove ha attivato una delle nostre regole YARA.

Nella Figura 1 puoi vedere un confronto tra i siti Web falsi e legittimi.

Figura 1. Sito falso (a sinistra) e quello legittimo (a destra)

Basato sul Ultima modifica informazioni che sono disponibili nella directory aperta del download dell’APK sul sito Web falso (vedi Figura 2), possiamo dedurre che questa app è disponibile per il download almeno dal 21 giugnoS2021.

Figura 2. Informazioni sulla directory aperta per l’app dannosa

Analisi

Questo esempio non è un malware completamente funzionante, anche se tutte le funzionalità dello spyware sono implementate come nelle versioni precedenti. Tuttavia, non tutte le sue funzionalità spyware possono essere eseguite, poiché l’app è limitata dalle autorizzazioni definite al suo interno AndroidManifest.xml. Se l’attore della minaccia espande le autorizzazioni dell’app, sarebbe anche in grado di esfiltrare:

  • testo dagli appunti,
  • posizione del dispositivo,
  • sms,
  • contatti,
  • registro delle chiamate,
  • telefonate registrate,
  • testo di tutte le notifiche da altre app,
  • account del dispositivo,
  • elenco di file sul dispositivo,
  • app in esecuzione,
  • elenco delle app installate e
  • Informazioni sul dispositivo.

Può anche ricevere comandi per scattare foto e registrare video, con i risultati caricati sul server C&C. La variante Furball scaricata dal sito web copycat può ancora ricevere comandi dal suo C&C; tuttavia, può svolgere solo queste funzioni:

  • estrarre la lista dei contatti,
  • ottenere file accessibili da memoria esterna,
  • elenca le app installate,
  • ottenere informazioni di base sul dispositivo e
  • ottenere account dispositivo (elenco di account utente sincronizzati con il dispositivo).

La figura 3 mostra le richieste di autorizzazione che devono essere accettate dall’utente. Queste autorizzazioni potrebbero non creare l’impressione di essere un’app spyware, soprattutto perché si atteggia a un’app di traduzione.

Figura 3. Elenco delle autorizzazioni richieste

Dopo l’installazione, Furball effettua una richiesta HTTP al proprio server C&C ogni 10 secondi, chiedendo i comandi da eseguire, come si può vedere nel pannello superiore della Figura 4. Il pannello inferiore mostra una risposta “non c’è niente da fare al momento” da il server C&C.

Figura 4. Comunicazione con il server C&C

Questi ultimi esempi non hanno nuove funzionalità implementate, fatta eccezione per il fatto che al codice è stata applicata una semplice offuscamento. L’offuscamento può essere individuato in nomi di classi, nomi di metodi, alcune stringhe, registri e percorsi URI del server (che avrebbero anche richiesto piccole modifiche sul back-end). La figura 5 confronta i nomi delle classi della versione precedente di Furball e della nuova versione, con offuscamento.

Figura 5. Confronto dei nomi delle classi della versione precedente (a sinistra) e della nuova versione (a destra)

La Figura 6 e la Figura 7 mostrano il precedente sendPost e nuovo sndPst funzioni, evidenziando i cambiamenti che questo offuscamento richiede.

Figura 6. Versione precedente del codice non offuscata

Figura 7. L’ultimo offuscamento del codice

Queste modifiche elementari, dovute a questo semplice offuscamento, hanno comportato un minor numero di rilevamenti su VirusTotal. Abbiamo confrontato i tassi di rilevamento del campione scoperto da Punto di controllo da febbraio 2021 (Figura 8) con la versione offuscata disponibile da giugno 2021 (Figura 9).

Figura 8. Versione non offuscata del malware rilevato dai motori 28/64

Figura 9. Versione offuscata del malware rilevata dai motori 4/63 al primo caricamento su VirusTotal

Conclusione

La campagna Domestic Kitten è ancora attiva, utilizzando siti Web imitatori per prendere di mira i cittadini iraniani. L’obiettivo dell’operatore è leggermente cambiato dalla distribuzione di spyware Android con funzionalità complete a una variante più leggera, come descritto sopra. Richiede un solo permesso intrusivo – per accedere ai contatti – molto probabilmente per rimanere sotto il radar e non attirare il sospetto di potenziali vittime durante il processo di installazione. Questa potrebbe anche essere la prima fase della raccolta di contatti che potrebbe essere seguita dallo spearphishing tramite messaggi di testo.

Oltre a ridurre la funzionalità dell’app attiva, gli autori di malware hanno cercato di ridurre il numero di rilevamenti implementando un semplice schema di offuscamento del codice per nascondere le proprie intenzioni al software di sicurezza mobile.

Per qualsiasi domanda sulla nostra ricerca pubblicata su WeLiveSecurity, contattaci all’indirizzo threatintel@eset.com.

ESET Research offre anche report di intelligence APT privati ​​e feed di dati. Per qualsiasi domanda su questo servizio, visita la pagina ESET Threat Intelligence.

IoC

SHA-1 Nome del pacchetto Nome rilevamento ESET Descrizione
BF482E86D512DA46126F0E61733BCA4352620176 com.getdoc.freepaaper.dissertation Android/Spy.Agent.BWS Malware che si spaccia per articolo house (traduzione: Article House) app.

Tecniche di MITRE ATT&CK

Questa tabella è stata creata utilizzando la versione 10 del framework ATT&CK.

Tattico id Nome Descrizione
Accesso iniziale T1476 Fornisci app dannose con altri mezzi FurBall viene fornito tramite collegamenti per il download diretto dietro falsi pulsanti di Google Play.
T1444 Masquerade come applicazione legittima Il sito web di Copycat fornisce collegamenti per scaricare FurBall.
Persistenza T1402 Ricevitori di trasmissione FurBall riceve il BOOT_COMPLETED broadcast tentativo di attivazione all’avvio del dispositivo.
Scoperta T1418 Scoperta dell’applicazione FurBall può ottenere un elenco di applicazioni installate.
T1426 Scoperta delle informazioni di sistema FurBall può estrarre informazioni sul dispositivo, inclusi il tipo di dispositivo, la versione del sistema operativo e l’ID univoco.
Collezione T1432 Accedi all’elenco dei contatti FurBall può estrarre l’elenco dei contatti della vittima.
T1533 Dati dal sistema locale FurBall può estrarre file accessibili da una memoria esterna.
Comando e controllo T1436 Porta comunemente usata FurBall comunica con il server C&C utilizzando il protocollo HTTP.
Esfiltrazione T1437 Protocollo del livello di applicazione standard FurBall esfiltra i dati raccolti tramite il protocollo HTTP standard.

Leave a Comment

Your email address will not be published. Required fields are marked *