趨勢科技在釣魚網站上發現一個偽裝成聊天應用程式的新間諜軟體。我們認為這具備多種網路間諜行為的應用程式初始目的是用在針對性目標攻擊(Targeted attack )。我們五月時在網站https://gooogle[.]press/首次發現此威脅,一個被宣傳成名為Chatrious的聊天應用程式。使用者可以點擊網站上的下載按鈕來下載惡意APK檔。
該網站在五月那次經驗後就失效了。我們注意到它在十月再度回歸,這次提供了另一個名為Apex App的應用程式。這是個能夠竊取使用者個人資訊的間諜軟體。趨勢科技將這兩種威脅都偵測為AndroidOS_CallerSpy.HRX。
圖1. Chatrious(左)和Apex App(右)的截圖
行為分析
CallerSpy號稱是個聊天程式,但我們發現它根本沒有聊天功能,反而混雜著間諜行為。CallerSpy在啟動後會經由Socket.IO建立與C&C伺服器的連線來接收發出的命令。接著用Evernote Android-Job開始排程工作來竊取資訊。
圖2. CallerSpy啟動C&C連線(左),然後開始排程工作(右)
CallerSpy建立好幾個排程工作來收集裝置上的電話紀錄、簡訊、聯絡人和檔案。它還會從C&C伺服器接收命令來截取螢幕再送回給伺服器。
圖3. 排程工作
| 來源 | 命令 |
| alive_latest_files_watcher | 啟動latest_files_watcher工作並保持運作 |
| enviorment_schedulers | 設定環境紀錄模組 |
| keep_enviorment_scehdular_alive | 啟動enviorment_scehdular工作並保持運作 |
| keep_listener_alive | 啟動listener工作並保持運作 |
| latest_files_watcher | 收集最新電話紀錄、簡訊、聯絡人和檔案 |
| listeners | 更新設定和進行螢幕截圖 |
| record_enviorment | 紀錄環境 |
| remote_sync | 上傳隱私資訊到遠端C&C伺服器 |
| sync_data_locally | 收集裝置上所有的電話紀錄、簡訊、聯絡人和檔案 |
表1. CallerSpy的部分排程工作標籤
所有的被竊資訊都被收集並儲存在本地資料庫,然後定期上傳到C&C伺服器。此間諜軟體會針對以下檔案類型:jpg,jpeg,png,docx,xls,xlsx,ppt,pptx,pdf,doc,txt,csv,aac,amr,m4a,opus,wav和amr。
圖4. 隱私資料庫
當從C&C伺服器接收命令後會擷取螢幕截圖。接著將截圖檔案用Base64編碼並經由預先設定的Socket.IO連線傳回伺服器。
圖5. 監視來自C&C伺服器的命令(左),擷取並傳送螢幕截圖(右)
偽裝Google誘騙使用者下載應用程式
使用網域gooogle[.]press想偽裝成Google來誘騙使用者下載應用程式。甚至會在網站底部放上假版權資訊。
圖6. 偽造的版權資訊
這波攻擊的幕後黑手努力地隱藏自己的踪跡。Whois查詢顯示此網域於2019年2月11日在Namecheap註冊。但我們發現所有的註冊資料都無法追查。不過該注意的是,網域隱私保護對Namecheap所提供的網域是相當普遍的。
![Figure 7. gooogle[.]press registration info](https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/11/fig-7-callerspy-gooogle-press-registration.png)
圖7. gooogle[.]press註冊資訊
我們確實發現了四個C&C IP地址,都是託管在合法服務上。我們只能確認C&C服務在端口3000使用Node.js。
更大戰役的初始階段
根據以上線索跟後續發現,我們認為這是波新的攻擊活動。直到本文撰寫時在VirusTotal上都偵測不到。
圖8. VirusTotal掃描結果
它的攻擊目標仍然不明,因為還沒有看到實際的受害者。我們也根據下列原因推論出這只是攻擊的初始階段:
- CallerSpy到現在都還無法進行針對性攻擊。它沒有使用者介面(UI),沒有真正有用的功能,只有實作了間諜功能。它使用預設的應用程式圖示,甚至標籤為“ rat”。我們還在CallerSpy內找到遺留的除錯用程式碼。
圖9. CallerSpy圖示和標籤(左),除錯用程式碼(右)
- 樣本憑證資訊顯示只是用來測試。
圖10. 憑證資訊
- 網頁的下載段落有三個按鈕給Apple、Android和Windows平台,但目前只支援Android。
圖11. 該應用程式宣稱可在不同平台上使用
- 至今我們的監控尚未發現任何大規模的感染,這可能意味著駭客還在等待散播惡意軟體的機會。
趨勢科技解決方案(如趨勢科技行動安全防護)可以偵測此惡意應用程式。使用者還可以利用其多層次安全防護技術,能夠保護裝置所有者的資料和隱私,並且抵禦勒索病毒、詐騙網站和身份竊盜等侵害。
對於企業,趨勢科技的行動安全防護企業版提供了裝置、合規性和應用程式管理,資料保護和設定配置,同時能夠保護裝置抵禦漏洞攻擊,防止未經授權的存取以及偵測並封鎖惡意軟體和詐騙網站。趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習技術來涵蓋Android和iOS威脅。能夠保護使用者解決惡意軟體、零時差和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。
入侵指標(IoC)
樣本雜湊值
| SHA-256 | 套件名稱 | 標籤 |
| 0c4b08bec1251b1ebc715a7ef1a712cdcb4d37ce0093d88f7fa73b0e05bf7b0e | com.sas.gplayservices.accesibility | GSERVICES |
| 38acf26161a2c6429ee40d9b70d8419a9bd00eaa8740d221f943cea3229372dd | com.sas.gservices.accesibility | GSERVICES |
| 3bf85d0aff5ddc0c57e43b879631ee692d98d01f5c964336471f1cdfe0d291f8 | com.example.rat | rat |
| 7cb0eb93de496e2141b6e0541465ca71a84063867381085692885c75aa59cb1b | com.pdf.searcher.dd | Pdf Searcher |
| 8ad18bd8f5d2f1fd9e00211170e8a540ddf7f51618588fab31b4ddd2b34b75e1 | com.pdfd.researcher.resaq_ver1 | Caller |
| c8e1a702a27309c22728792c64aad4abc14ec2bfad1b30a4f27b8ebc6bcc68ff | com.sas.gservices.accesibility | GSERVICES |
C&C伺服器
3.95.71.123:3000
18.206.105.66:3000
40.114.109.69:3000
52.21.5.241:2000
釣魚網站
MITRE ATT&CK技術手法
| 攻擊戰略 | 技術手法 | ID | 介紹 |
| 初始進入 | 偽裝成正常應用程式 | T1444 | 用於偽裝成正常聊天程式 |
| 持續性 | 利用裝置管理權限來避免被移除 | T1401 | 用於要求裝置管理員權限 |
| 持續性 | 裝置啟動時應用程式會自動啟動 | T1402 | 用於接收BOOT_COMPLETED 廣播 |
| 防禦逃脫 | 隱藏應用程式圖示 | T1508 | 用於不讓圖示出現在應用程式櫃來隱藏被安裝的事實 |
| 發現 | 尋找檔案和目錄 | T1420 | 用於掃描外部儲存裝置檔案系統 |
| 發現 | 追蹤位置 | T1430 | 用於追蹤裝置位置 |
| 收集 | 取得電話紀錄 | T1433 | 用於收集電話紀錄資料 |
| 收集 | 取得聯絡人列表 | T1432 | 用於收集聯絡人資料 |
| 收集 | 擷取音頻 | T1429 | 用於紀錄音頻資訊 |
| 收集 | 擷取簡訊 | T1412 | 用於收集簡訊 |
| 收集 | 收集本地系統資料 | T1533 | 用於收集裝置內檔案,包括文件、照片和多媒體檔案 |
| 收集 | 追蹤位置 | T1430 | 用於追蹤裝置位置 |
| 收集 | 螢幕擷取 | T1513 | 用於在裝置上進行螢幕截圖 |
| 滲出 | 標準應用程式協定 | T1437 | 使用標準HTTP協定 |
| 命令和控制 | 非常用端口 | T1509 | 使用非常見端口2000, 3000 |
@原文出處:Mobile Cyberespionage Campaign Distributed Through CallerSpy Mounts Initial Phase of a Targeted Attack 作者:Ecular Xu(行動威脅回應工程師)