趨勢科技發現了一波針對中東國家的網路間諜活動。我們根據“golf”套件內的惡意程式碼將此波活動命名為“Bouncing Golf”。趨勢科技將其偵測為AndroidOS_GolfSpy.HRX,擁有多樣的網路間諜功能。駭客會重新封裝合法應用程式並嵌入惡意程式碼。我們監控 Bouncing Golf 所用的命令和控制(C&C)伺服器並且看到超過 660台感染 GolfSpy 的Android裝置。大部分的被竊資料似乎都和軍事有關。
這些重新封裝的惡意應用程式並沒放在Google Play或熱門的第三方應用程式市場,我們在追查GolfSpy時,發現這些放惡意應用程式的網址只會透過社群媒體散播。我們也從趨勢科技行動應用程式信譽評比服務取得部分 GolfSpy樣本進行分析。
另外值得注意的是,Bouncing Golf或許跟之前報導過的行動網路間諜活動(Domestic Kitten)有關。例如有相似的程式碼字串結構。竊取資料也用相似的格式。
圖1. GolfSpy的感染鏈
GolfSpy竊取 17種資料列表:
根據GolfSpy的資料竊取能力,這款惡意軟體會劫持受感染Android裝置。以下是GolfSpy所能竊取 17種資料的列表:
- 裝置帳號
- 已安裝應用程式列表
- 運行中程序
- 電池狀態
- 預設瀏覽器的書籤/歷史記錄
- 電話日誌和記錄
- 剪貼簿內容
- 聯絡人(包括VCard格式)
- 電信商資訊
- 儲存在SD卡內的檔案
- 地理位置
- 儲存在裝置內的照片、聲音和影片檔列表
- 儲存空間和記憶體資訊
- 連線資訊
- 感應器資訊
- 簡訊
- 照片
GolfSpy還能夠連到遠端伺服器來取得和執行命令,包括:搜尋、列出、刪除和重新命名檔案,以及將檔案下載到裝置內及從裝置取得檔案;螢幕截圖;安裝其他應用程式套件(APK);錄製聲音和影片;還有更新惡意軟體。
偽裝成常用的通訊、新聞、生活、書籍和參考應用程式
重新封裝的應用程式嵌入了惡意程式碼(可在com.golf套件找到)。這些重新封裝的應用程式偽裝成常用的通訊、新聞、生活、書籍和參考應用程式。應用程式內嵌的GolfSpy惡意軟體是駭客寫死的內部名稱。
圖2. Bouncing Golf操作者重新封裝的應用程式圖示(上)以及原始合法應用程式(左下)和GolfSpy(右下)的套件比較
圖3. GolfSpy設定用客製化演算法編碼(右)以及解碼版本(左)
如圖3所示,GolfSpy的設定(如C&C伺服器、金鑰)由客製化演算法編碼。一旦啟動,GolfSpy會為受影響裝置產生一個唯一ID,然後以格式“%,[],time”(如圖4所示)收集資料(如簡訊、聯絡人、位置和帳號)。資訊會被寫入裝置內的檔案。攻擊者可以選擇要收集的資料類型,這些資料會用特定格式寫入。
圖4. GolfSpy產生UUID的程式碼
%值在1-9或a-J之間。每個值代表從裝置竊取的不同類型資料:
| 值 | 資料類型 |
| 1 | 帳號 |
| 2 | 已安裝APP列表 |
| 3 | 執行中程序列表 |
| 4 | 電池狀態 |
| 5 | 瀏覽器書籤和歷史記錄 |
| 6 | 通話記錄 |
| 7 | 剪貼簿 |
| 8 | 聯絡人 |
| 9 | 電信商資訊 |
| a | SD卡上的檔案列表 |
| b | 地理位置 |
| c | 照片列表 |
| d | 聲音列表 |
| e | 影片列表 |
| f | 儲存空間和記憶體資訊 |
| g | 連線資訊 |
| h | 感應器資訊 |
| I | 簡訊 |
| j | VCard格式的聯絡人 |
表1.與GolfSpy中編碼值對應的資料類型
圖5顯示監視和記錄裝置通話所用的程式碼。當使用者喚醒裝置時,它還會使用裝置的前置鏡頭拍照。
除了收集上述資料外,間諜軟體還會監控使用者的電話,記錄它們並將錄製的檔案儲存在裝置上。GolfSpy會以預先設定金鑰來用簡單XOR操作加密所有被竊資料,接著用HTTP POST發送到C&C伺服器。
圖5. 程式碼顯示GolfSpy如何通過register receiver監控電話通話(左上),裝置喚醒時的操作(右上)以及如何加密被竊資料(下)
惡意軟體用HTTP從C&C伺服器取得命令,攻擊者可以竊取受感染裝置上的特定檔案。該命令是特別建構的字串,用“<DEL>”作為分隔符號分成三個部分。第一部分是目標資料夾,第二部分是找出特定檔案的正規式,最後一部分是ID。
圖6. 從受感染裝置的應用程式竊取特定檔案(上)及GolfSpy解析和執行命令(下)
除了使用HTTP POST,GolfSpy還會跟遠端C&C伺服器建立Socket連線來接收和執行其他命令。被竊資料也能加密並通過Socket連線送到C&C伺服器。所用的加密金鑰跟HTTP發送所用的金鑰不同。
圖7. 攻擊者可以通過Socket連線執行更多命令(上)以及用於加密被竊資料的金鑰(下)
關聯Bouncing Golf的活動
趨勢科技監控Bouncing Golf的C&C活動並發現這波攻擊在本文撰寫時已經影響了超過660台裝置。因為攻擊的性質,可以理解為什麼數量怎麼少或有限,但我們也預計會再增加或有更多樣化的散播方式。大多數受影響裝置都位在中東,我們看到許多關於軍事的被竊資料(如圖檔、文件)。
Bouncing Golf的操作者也會試著掩蓋踪跡。像是攻擊活動所用的C&C網域註冊者聯絡資料已被屏蔽。所用的C&C伺服器IP地址似乎也都完全不同,因為它們位於許多歐洲國家,如俄羅斯、法國、荷蘭和德國。
雖然沒有明確的相關性,但Bouncing Golf似乎與Domestic Kitten有關,因為我們在程式碼內發現有相似之處。例如兩者部署的Android惡意軟體的解碼演算法都有相同的程式碼字串。Domestic Kitten竊取的資料也用跟Bouncing Golf類似的格式,每種類型的資料都有獨特的識別碼。同樣值得注意的是,兩波攻擊都會重新封裝目標國家/地區常用的應用程式,如Telegram、Kik和Plus通訊應用程式。
圖8. 程式碼片段顯示Bouncing Golf和Domestic Kitten共用的解碼演算法(上),Domestic Kitten惡意軟體目標竊取資料格式(中),以及Bouncing Golf(左下)和Domestic Kitten(右下)如何在命令字串內用“<DEL>”作為分隔符號。
正如我們在去年的行動威脅情勢所看到的那樣,因為行動平台的無所不在,我們預計會有更多針對它們的網路間諜活動,使用久經考驗的技術來誘騙無辜的使用者。這類威脅能夠竊取的資料範圍很大,因為攻擊者可以控制被入侵的裝置。使用者應該要採用最佳實作,組織也要確保可以在行動性需求及安全防護的重要間取得平衡。
一般使用者和企業也可以利用多層次行動安全解決方案來保護自己,例如趨勢科技行動安全防護(可在Google Play上取得)。趨勢科技的行動安全防護企業版提供裝置、合規和應用程式管理,資料保護和設定配置,並且保護裝置對抗漏洞攻擊,防止未經授權存取以及偵測並封鎖惡意軟體及詐騙網站。趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習(Machine learning,ML)技術來涵蓋Android和iOS威脅。保護裝置抵禦惡意軟體、零時差攻擊和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。
入侵指標(IoC)列表可從此附錄取得。
@原文出處:Mobile Cyberespionage Campaign ‘Bouncing Golf’ Affects Middle East 作者:Ecular Xu和Gray Guo(行動威脅分析師)
PC-cillin 雲端版30天防毒軟體免費下載,整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 歡迎試用!守護您的電腦、、手機、平板防護一次到位,Windows、Mac、Android、iOS跨平台防護 》即刻免費下載試用
