ESET-Forscher haben kürzlich eine neue Version der Android-Malware FurBall identifiziert. Diese wird in einer "Domestic Kitten" Kampagne der APT-C-50 Gruppe eingesetzt. Domestic Kitten ist speziell dafür bekannt, dass mobile Überwachungsmaßnahmen gegen iranische Bürger durchgeführt werden. Diese neue FurBall-Version unterscheidet sich in ihrer Zielsetzung nicht. Seit Juni 2021 wird sie als Übersetzungs-App über eine gefälschte iranische Website verbreitet, die übersetzte Artikel, Zeitschriften und Bücher anbietet. Die bösartige App wurde auf VirusTotal hochgeladen, wo sie eine unserer YARA-Regeln auslöste (diese werden unter anderem zur Klassifizierung und Identifizierung von Malware-Samples verwendet), was uns die Möglichkeit gab, sie zu analysieren.
Diese Version von FurBall verfügt über dieselben Überwachungsfunktionen wie die Vorgängerversionen; allerdings haben die Malware-Autoren Klassen- und Methodennamen, Strings, Protokolle und Server-URIs leicht verschleiert. Diese Aktualisierung erforderte auch kleine Änderungen auf dem C&C-Server - genauer gesagt, die Namen der serverseitigen PHP-Skripte. Da sich die Funktionalität dieser Variante nicht geändert hat, scheint der Hauptzweck dieser Aktualisierung darin zu bestehen, die Erkennung durch Sicherheitssoftware zu vermeiden. Diese Änderungen hatten jedoch keine Auswirkungen auf ESET-Software; ESET-Produkte erkennen diese Bedrohung als Android/Spy.Agent.BWS.
Das analysierte Sample fordert nur eine einzige vertrauliche Erlaubnis an - den Zugriff auf Kontakte. Der Grund dafür könnte das Ziel sein, unter dem Radar zu bleiben. Andererseits denken wir, dass dies auch ein Zeichen dafür sein könnte, dass es sich nur um die vorangehende Phase eines Spearphishing-Angriffs handelt, der über Textnachrichten durchgeführt wird. Wenn der Bedrohungsakteur die App-Berechtigungen ausweitet, wäre er auch in der Lage, andere Datentypen von den betroffenen Telefonen zu sammeln, z. B. SMS-Nachrichten, den Standort des Geräts, aufgezeichnete Telefonate und vieles mehr.
Die wichtigsten Punkte in diesem Blogpost:
- Die Kampagne "Domestic Kitten" läuft seit mindestens 2016.
- Sie richtet sich hauptsächlich gegen iranische Bürger.
- Wir haben ein neues, verschleiertes Android FurBall Sample entdeckt, das in der Kampagne verwendet wurde.
- Sie wird über eine gefälschte Website verbreitet.
- Das analysierte Sample hat nur eine eingeschränkte Spionagefunktionalität aktiviert, um unter dem Radar zu bleiben.
Domestic Kitten - Übersicht
Die APT-C-50 Gruppe hat mit ihrer "Domestic Kitten" Kampagne seit 2016 mobile Überwachungsmaßnahmen gegen iranische Bürger durchgeführt, wie Check Point 2018 berichtete. Im Jahr 2019 identifizierte Trend Micro eine schädliche Kampagne, die möglicherweise mit Domestic Kitten in Verbindung steht und auf den Nahen Osten abzielt, und nannte die Kampagne Bouncing Golf. Kurz darauf, im selben Jahr, meldete Qianxin eine Kampagne, die wiederum auf den Iran abzielte. Im Jahr 2020 enthüllte 360 Core Security Überwachungsaktivitäten von Domestic Kitten, die auf regierungsfeindliche Gruppen im Nahen Osten abzielten. Der letzte bekannte öffentlich zugängliche Bericht stammt aus dem Jahr 2021 erneut von Check Point.
FurBall - die Android-Malware, die seit Beginn dieser Kampagnen bei dieser Operation eingesetzt wird - wurde auf der Grundlage des kommerziellen Stalkerware-Tools KidLogger erstellt. Es scheint, dass sich die FurBall-Entwickler von der Open-Source-Version von vor sieben Jahren inspirieren ließen, die auf Github verfügbar ist, wie Check Point feststellte.
Verteilung
Diese bösartige Android-Anwendung wird über eine gefälschte Website bereitgestellt, die eine legitime Website imitiert, auf der Artikel und Bücher aus dem Englischen ins Persische übersetzt werden (downloadmaghaleh.com). Den Kontaktinformationen auf der legitimen Website zufolge wird dieser Service vom Iran aus angeboten, was uns zu der Annahme veranlasst, dass die gefälschte Website auf iranische Bürger abzielt. Der Zweck der Nachahmung besteht darin, eine Android-App zum Download anzubieten, nachdem man auf eine Schaltfläche geklickt hat, auf der in persischer Sprache "Anwendung herunterladen" steht. Die Schaltfläche trägt das Google Play-Logo, aber diese App ist nicht im Google Play-Store erhältlich, sondern wird direkt vom Server des Angreifers heruntergeladen. Die App wurde zu VirusTotal hochgeladen, wo sie eine unserer YARA-Regeln auslöste.
In Abbildung 1 sehen Sie einen Vergleich zwischen den gefälschten und den seriösen Websites.
Abbildung 1. Gefälschte Website (links) im Vergleich zur legitimen Website (rechts)
Aus der Information über die letzte Änderung, die im offenen Verzeichnis des APK-Downloads auf der gefälschten Website zu finden ist (siehe Abbildung 2), können wir schließen, dass diese App mindestens seit dem 21. Juni 2021 zum Download bereitsteht.
Abbildung 2. Geöffnete Verzeichnisinformationen für die bösartige Anwendung
Analyse
Bei diesem Sample handelt es sich nicht um voll funktionsfähige Malware, auch wenn alle Spyware-Funktionen wie in den Vorgängerversionen implementiert sind. Es können jedoch nicht alle Spyware-Funktionen ausgeführt werden, da die App durch die in ihrer AndroidManifest.xml definierten Berechtigungen eingeschränkt ist. Wenn der Angreifer die Berechtigungen der App erweitert, kann zusätzlich folgendes gestohlen werden:
- Text aus der Zwischenablage,
- Gerätestandort,
- SMS-Nachrichten,
- Kontakte,
- Anrufprotokolle,
- aufgezeichnete Anrufe,
- Text aller Benachrichtigungen von anderen Anwendungen,
- Gerätekonten,
- Liste der Dateien auf dem Gerät,
- laufende Apps,
- Liste der installierten Apps und
- Geräteinformationen.
Er kann auch Befehle zum Aufnehmen von Fotos und Videos empfangen, wobei die Ergebnisse auf den C&C-Server hochgeladen werden. Die FurBall-Variante, die von der nachgeahmten Website heruntergeladen wurde, kann zwar immer noch Befehle von seinem C&C-Server empfangen, kann aber nur diese Funktionen ausführen:
- Kontaktliste auslesen,
- zugängliche Dateien vom externen Speicher abrufen,
- installierte Anwendungen auflisten,
- grundlegende Informationen über das Gerät abrufen und
- Gerätekonten abrufen (Liste der mit dem Gerät synchronisierten Benutzerkonten).
Abbildung 3 zeigt Berechtigungsanfragen, die vom Benutzer akzeptiert werden müssen. Diese Berechtigungen erwecken nicht unbedingt den Eindruck, dass es sich um eine Spyware-App handelt, zumal sie sich als Übersetzungs-App ausgibt.
Abbildung 3. Liste der geforderten Berechtigungen
Nach der Installation stellt FurBall alle 10 Sekunden eine HTTP-Anfrage an seinen C&C-Server und bittet um auszuführende Befehle, wie im oberen Feld von Abbildung 4 zu sehen ist. Das untere Feld zeigt die Antwort des C&C-Servers: "Im Moment gibt es nichts zu tun".
Abbildung 4. Kommunication mit dem C&C Server
In diesen neuesten Samples sind keine neuen Funktionen implementiert, abgesehen von der Tatsache, dass der Code eine einfache Verschleierung aufweist. Die Verschleierung ist in Klassennamen, Methodennamen, einigen Strings, Protokollen und Server-URI-Pfaden zu erkennen (was auch kleine Änderungen am Backend erfordert hätte). Abbildung 5 vergleicht die Klassennamen der älteren FurBall-Version mit denen der neuen Version mit Verschleierung.
Abbildung 5. Vergleich der Klassennamen der älteren Version (links) und der neuen Version (rechts)
Abbildung 6 und Abbildung 7 zeigen die früheren sendPost- und die neuen sndPst-Funktionen und verdeutlichen die Änderungen, die diese Verschleierung erforderlich macht.
Abbildung 6. Ältere, nicht verschleierte Version des Codes
Abbildung 7. Die neueste Code Verschleierung
Die elementaren Änderungen, die auf diese einfache Verschleierung zurückzuführen sind, führten zu weniger Entdeckungen auf VirusTotal. Wir haben die Erkennungsraten des von Check Point entdeckten Samples vom Februar 2021 (Abbildung 8) mit der verschleierten Version verglichen, die seit Juni 2021 verfügbar ist (Abbildung 9).
Abbildung 8. Nicht verschleierte Version der von 28/64 Engines erkannten Malware
Abbildung 9. Verschleierte Version der Malware, die von 4/63 Engines beim ersten Hochladen auf VirusTotal erkannt wurde
Fazit
Die "Domestic Kitten" Kampagne ist immer noch aktiv und nutzt gefälschte Websites, um iranische Bürger anzusprechen. Das Ziel der Angreier hat sich geringfügig von der Verbreitung von Android-Spyware mit vollem Funktionsumfang zu einer leichteren Variante, wie oben beschrieben, geändert. Sie fordert nur eine einzige verdächtige Erlaubnis an - den Zugriff auf Kontakte -, um höchstwahrscheinlich unter dem Radar zu bleiben und den Verdacht potenzieller Opfer während des Installationsprozesses nicht auf sich zu ziehen. Dies könnte auch die erste Phase des Sammelns von Kontakten sein, auf die dann Spearphishing über Textnachrichten folgen könnte.
Neben der Reduzierung der aktiven App-Funktionalität versuchten die Malware-Autoren, die Anzahl der Entdeckungen zu verringern, indem sie ein einfaches Schema zur Verschleierung des Codes einführten, um ihre Absichten vor mobiler Sicherheitssoftware zu verbergen.
IoCs
| SHA-1 | Package Name | ESET detection name | Description |
|---|---|---|---|
| BF482E86D512DA46126F0E61733BCA4352620176 | com.getdoc.freepaaper.dissertation | Android/Spy.Agent.BWS | Malware impersonating سرای مقاله (translation: Article House) app. |
MITRE ATT&CK techniques
This table was built using version 10 of the ATT&CK framework.
| Tactic | ID | Name | Description |
|---|---|---|---|
| Initial Access | T1476 | Deliver Malicious App via Other Means | FurBall is delivered via direct download links behind fake Google Play buttons. |
| T1444 | Masquerade as Legitimate Application | Copycat website provides links to download FurBall. | |
| Persistence | T1402 | Broadcast Receivers | FurBall receives the BOOT_COMPLETED broadcast intent to activate at device startup. |
| Discovery | T1418 | Application Discovery | FurBall can obtain a list of installed applications. |
| T1426 | System Information Discovery | FurBall can extract information about the device including device type, OS version, and unique ID. | |
| Collection | T1432 | Access Contact List | FurBall can extract the victim’s contact list. |
| T1533 | Data from Local System | FurBall can extract accessible files from external storage. | |
| Command and Control | T1436 | Commonly Used Port | FurBall communicates with C&C server using HTTP protocol. |
| Exfiltration | T1437 | Standard Application Layer Protocol | FurBall exfiltrates collected data over standard HTTP protocol. |
–
Haben Sie Fragen und Anregungen zu diesem, anderen oder zukünftigen Themen, die Sie gern betrachtet sehen wollen? Dann nutzen Sie gern die Kommentarfunktion unter diesem Artikel oder nutzen unser Kontaktformular!
