【手機病毒 】會竊取17 種Android手機資料的網路間諜Bouncing Golf ,透過社群媒體散播

會竊取17 種Android手機資料的網路間諜Bouncing Golf ,透過社群媒體散播

趨勢科技發現了一波針對中東國家的網路間諜活動。我們根據“golf”套件內的惡意程式碼將此波活動命名為“Bouncing Golf”。趨勢科技將其偵測為AndroidOS_GolfSpy.HRX,擁有多樣的網路間諜功能。駭客會重新封裝合法應用程式並嵌入惡意程式碼。我們監控 Bouncing Golf 所用的命令和控制(C&C)伺服器並且看到超過 660台感染 GolfSpy 的Android裝置。大部分的被竊資料似乎都和軍事有關。

這些重新封裝的惡意應用程式並沒放在Google Play或熱門的第三方應用程式市場,我們在追查GolfSpy時,發現這些放惡意應用程式的網址只會透過社群媒體散播。我們也從趨勢科技行動應用程式信譽評比服務取得部分 GolfSpy樣本進行分析。

另外值得注意的是,Bouncing Golf或許跟之前報導過的行動網路間諜活動(Domestic Kitten)有關。例如有相似的程式碼字串結構。竊取資料也用相似的格式。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/06/bouncing-golf-golfspy-1.jpg

圖1. GolfSpy的感染鏈

GolfSpy竊取 17種資料列表:

根據GolfSpy的資料竊取能力,這款惡意軟體會劫持受感染Android裝置。以下是GolfSpy所能竊取 17種資料的列表:

  1. 裝置帳號
  2. 已安裝應用程式列表
  3. 運行中程序
  4. 電池狀態
  5. 預設瀏覽器的書籤/歷史記錄
  6. 電話日誌和記錄
  7. 剪貼簿內容
  8. 聯絡人(包括VCard格式)
  9. 電信商資訊
  10. 儲存在SD卡內的檔案
  11. 地理位置
  12. 儲存在裝置內的照片、聲音和影片檔列表
  13. 儲存空間和記憶體資訊
  14. 連線資訊
  15. 感應器資訊
  16. 簡訊
  17. 照片

GolfSpy還能夠連到遠端伺服器來取得和執行命令,包括:搜尋、列出、刪除和重新命名檔案,以及將檔案下載到裝置內及從裝置取得檔案;螢幕截圖;安裝其他應用程式套件(APK);錄製聲音和影片;還有更新惡意軟體。

偽裝成常用的通訊、新聞、生活、書籍和參考應用程式

重新封裝的應用程式嵌入了惡意程式碼(可在com.golf套件找到)。這些重新封裝的應用程式偽裝成常用的通訊、新聞、生活、書籍和參考應用程式。應用程式內嵌的GolfSpy惡意軟體是駭客寫死的內部名稱。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/06/bouncing-golf-golfspy-2-1.png
https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/06/bouncing-golf-golfspy-2-2.png

圖2. Bouncing Golf操作者重新封裝的應用程式圖示(上)以及原始合法應用程式(左下)和GolfSpy(右下)的套件比較

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/06/bouncing-golf-golfspy-3.jpg

圖3. GolfSpy設定用客製化演算法編碼(右)以及解碼版本(左)

如圖3所示,GolfSpy的設定(如C&C伺服器、金鑰)由客製化演算法編碼。一旦啟動,GolfSpy會為受影響裝置產生一個唯一ID,然後以格式“%,[],time”(如圖4所示)收集資料(如簡訊、聯絡人、位置和帳號)。資訊會被寫入裝置內的檔案。攻擊者可以選擇要收集的資料類型,這些資料會用特定格式寫入。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/06/bouncing-golf-golfspy-4.png

圖4. GolfSpy產生UUID的程式碼

%值在1-9或a-J之間。每個值代表從裝置竊取的不同類型資料:

資料類型
1 帳號
2 已安裝APP列表
3 執行中程序列表
4 電池狀態
5 瀏覽器書籤和歷史記錄
6 通話記錄
7 剪貼簿
8 聯絡人
9 電信商資訊
a SD卡上的檔案列表
b 地理位置
c 照片列表
d 聲音列表
e 影片列表
f 儲存空間和記憶體資訊
g 連線資訊
h 感應器資訊
I 簡訊
j VCard格式的聯絡人

表1.與GolfSpy中編碼值對應的資料類型

圖5顯示監視和記錄裝置通話所用的程式碼。當使用者喚醒裝置時,它還會使用裝置的前置鏡頭拍照。

除了收集上述資料外,間諜軟體還會監控使用者的電話,記錄它們並將錄製的檔案儲存在裝置上。GolfSpy會以預先設定金鑰來用簡單XOR操作加密所有被竊資料,接著用HTTP POST發送到C&C伺服器。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/06/bouncing-golf-golfspy-5.png

圖5. 程式碼顯示GolfSpy如何通過register receiver監控電話通話(左上),裝置喚醒時的操作(右上)以及如何加密被竊資料(下)

惡意軟體用HTTP從C&C伺服器取得命令,攻擊者可以竊取受感染裝置上的特定檔案。該命令是特別建構的字串,用“<DEL>”作為分隔符號分成三個部分。第一部分是目標資料夾,第二部分是找出特定檔案的正規式,最後一部分是ID。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/06/bouncing-golf-golfspy-6.png

圖6. 從受感染裝置的應用程式竊取特定檔案(上)及GolfSpy解析和執行命令(下)

除了使用HTTP POST,GolfSpy還會跟遠端C&C伺服器建立Socket連線來接收和執行其他命令。被竊資料也能加密並通過Socket連線送到C&C伺服器。所用的加密金鑰跟HTTP發送所用的金鑰不同。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/06/bouncing-golf-golfspy-7.png

圖7. 攻擊者可以通過Socket連線執行更多命令(上)以及用於加密被竊資料的金鑰(下)

關聯Bouncing Golf的活動

趨勢科技監控Bouncing Golf的C&C活動並發現這波攻擊在本文撰寫時已經影響了超過660台裝置。因為攻擊的性質,可以理解為什麼數量怎麼少或有限,但我們也預計會再增加或有更多樣化的散播方式。大多數受影響裝置都位在中東,我們看到許多關於軍事的被竊資料(如圖檔、文件)。

Bouncing Golf的操作者也會試著掩蓋踪跡。像是攻擊活動所用的C&C網域註冊者聯絡資料已被屏蔽。所用的C&C伺服器IP地址似乎也都完全不同,因為它們位於許多歐洲國家,如俄羅斯、法國、荷蘭和德國。

雖然沒有明確的相關性,但Bouncing Golf似乎與Domestic Kitten有關,因為我們在程式碼內發現有相似之處。例如兩者部署的Android惡意軟體的解碼演算法都有相同的程式碼字串。Domestic Kitten竊取的資料也用跟Bouncing Golf類似的格式,每種類型的資料都有獨特的識別碼。同樣值得注意的是,兩波攻擊都會重新封裝目標國家/地區常用的應用程式,如Telegram、Kik和Plus通訊應用程式。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/06/bouncing-golf-golfspy-8-1.png

圖8. 程式碼片段顯示Bouncing Golf和Domestic Kitten共用的解碼演算法(上),Domestic Kitten惡意軟體目標竊取資料格式(中),以及Bouncing Golf(左下)和Domestic Kitten(右下)如何在命令字串內用“<DEL>”作為分隔符號。

正如我們在去年的行動威脅情勢所看到的那樣,因為行動平台的無所不在,我們預計會有更多針對它們的網路間諜活動,使用久經考驗的技術來誘騙無辜的使用者。這類威脅能夠竊取的資料範圍很大,因為攻擊者可以控制被入侵的裝置。使用者應該要採用最佳實作,組織也要確保可以在行動性需求及安全防護的重要間取得平衡。

一般使用者和企業也可以利用多層次行動安全解決方案來保護自己,例如趨勢科技行動安全防護(可在Google Play上取得)。趨勢科技的行動安全防護企業版提供裝置、合規和應用程式管理,資料保護和設定配置,並且保護裝置對抗漏洞攻擊,防止未經授權存取以及偵測並封鎖惡意軟體及詐騙網站。趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習(Machine learning,ML)技術來涵蓋Android和iOS威脅。保護裝置抵禦惡意軟體、零時差攻擊和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。

入侵指標(IoC)列表可從此附錄取得。

@原文出處:Mobile Cyberespionage Campaign ‘Bouncing Golf’ Affects Middle East 作者:Ecular Xu和Gray Guo(行動威脅分析師

PC-cillin 雲端版30天防毒軟體免費下載,整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 歡迎試用!守護您的電腦、、手機、平板防護一次到位,Windows、Mac、Android、iOS跨平台防護 》即刻免費下載試用