CallerSpy 行動間諜軟體,偽裝聊天APP竊個資,可能發動針對性攻擊

趨勢科技在釣魚網站上發現一個偽裝成聊天應用程式的新間諜軟體。我們認為這具備多種網路間諜行為的應用程式初始目的是用在針對性目標攻擊(Targeted attack )。我們五月時在網站http://gooogle[.]press/首次發現此威脅,一個被宣傳成名為Chatrious的聊天應用程式。使用者可以點擊網站上的下載按鈕來下載惡意APK檔。

該網站在五月那次經驗後就失效了。我們注意到它在十月再度回歸,這次提供了另一個名為Apex App的應用程式。這是個能夠竊取使用者個人資訊的間諜軟體。趨勢科技將這兩種威脅都偵測為AndroidOS_CallerSpy.HRX。

Figure 1. Screenshots of Chatrious (left) and Apex App (right)

圖1. Chatrious(左)和Apex App(右)的截圖

行為分析

CallerSpy號稱是個聊天程式,但我們發現它根本沒有聊天功能,反而混雜著間諜行為。CallerSpy在啟動後會經由Socket.IO建立與C&C伺服器的連線來接收發出的命令。接著用Evernote Android-Job開始排程工作來竊取資訊。

Figure 2. CallerSpy initiates C&C connection (left) and then starts scheduling jobs (right)

圖2. CallerSpy啟動C&C連線(左),然後開始排程工作(右)

CallerSpy建立好幾個排程工作來收集裝置上的電話紀錄、簡訊、聯絡人和檔案。它還會從C&C伺服器接收命令來截取螢幕再送回給伺服器。

Figure 3. Scheduled jobs

圖3. 排程工作

來源 命令
alive_latest_files_watcher 啟動latest_files_watcher工作並保持運作
enviorment_schedulers 設定環境紀錄模組
keep_enviorment_scehdular_alive 啟動enviorment_scehdular工作並保持運作
keep_listener_alive 啟動listener工作並保持運作
latest_files_watcher 收集最新電話紀錄、簡訊、聯絡人和檔案
listeners 更新設定和進行螢幕截圖
record_enviorment 紀錄環境
remote_sync 上傳隱私資訊到遠端C&C伺服器
sync_data_locally 收集裝置上所有的電話紀錄、簡訊、聯絡人和檔案

表1. CallerSpy的部分排程工作標籤

所有的被竊資訊都被收集並儲存在本地資料庫,然後定期上傳到C&C伺服器。此間諜軟體會針對以下檔案類型:jpg,jpeg,png,docx,xl​​s,xlsx,ppt,pptx,pdf,doc,txt,csv,aac,amr,m4a,opus,wavamr

Figure 4. Privacy database

圖4. 隱私資料庫

當從C&C伺服器接收命令後會擷取螢幕截圖。接著將截圖檔案用Base64編碼並經由預先設定的Socket.IO連線傳回伺服器。

Figure 5. Monitor commands from C&C server (left), take and send the screenshot (right)

圖5. 監視來自C&C伺服器的命令(左),擷取並傳送螢幕截圖(右)

偽裝Google誘騙使用者下載應用程式

使用網域gooogle[.]press想偽裝成Google來誘騙使用者下載應用程式。甚至會在網站底部放上假版權資訊。

Figure 6. Fake copyright info

圖6. 偽造的版權資訊

這波攻擊的幕後黑手努力地隱藏自己的踪跡。Whois查詢顯示此網域於2019年2月11日在Namecheap註冊。但我們發現所有的註冊資料都無法追查。不過該注意的是,網域隱私保護對Namecheap所提供的網域是相當普遍的。

Figure 7. gooogle[.]press registration info

圖7. gooogle[.]press註冊資訊

我們確實發現了四個C&C IP地址,都是託管在合法服務上。我們只能確認C&C服務在端口3000使用Node.js。

更大戰役的初始階段

根據以上線索跟後續發現,我們認為這是波新的攻擊活動。直到本文撰寫時在VirusTotal上都偵測不到。

Figure 9. VirusTotal scan result

圖8. VirusTotal掃描結果

它的攻擊目標仍然不明,因為還沒有看到實際的受害者。我們也根據下列原因推論出這只是攻擊的初始階段:

  • CallerSpy到現在都還無法進行針對性攻擊。它沒有使用者介面(UI),沒有真正有用的功能,只有實作了間諜功能。它使用預設的應用程式圖示,甚至標籤為“ rat”。我們還在CallerSpy內找到遺留的除錯用程式碼。
Figure 10. CallerSpy icon and label (left), debug code (right)

圖9. CallerSpy圖示和標籤(左),除錯用程式碼(右)

  • 樣本憑證資訊顯示只是用來測試。
Figure 11. Certification details

圖10. 憑證資訊

  • 網頁的下載段落有三個按鈕給Apple、Android和Windows平台,但目前只支援Android。
Figure 12. The app advertises to be available on different platforms

圖11. 該應用程式宣稱可在不同平台上使用

  • 至今我們的監控尚未發現任何大規模的感染,這可能意味著駭客還在等待散播惡意軟體的機會。

趨勢科技解決方案(如趨勢科技行動安全防護)可以偵測此惡意應用程式。使用者還可以利用其多層次安全防護技術,能夠保護裝置所有者的資料和隱私,並且抵禦勒索病毒、詐騙網站和身份竊盜等侵害。

對於企業,趨勢科技的行動安全防護企業版提供了裝置、合規性和應用程式管理,資料保護和設定配置,同時能夠保護裝置抵禦漏洞攻擊,防止未經授權的存取以及偵測並封鎖惡意軟體和詐騙網站。趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習技術來涵蓋Android和iOS威脅。能夠保護使用者解決惡意軟體、零時差和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。 

入侵指標(IoC

樣本雜湊值

SHA-256 套件名稱 標籤
0c4b08bec1251b1ebc715a7ef1a712cdcb4d37ce0093d88f7fa73b0e05bf7b0e com.sas.gplayservices.accesibility GSERVICES
38acf26161a2c6429ee40d9b70d8419a9bd00eaa8740d221f943cea3229372dd com.sas.gservices.accesibility GSERVICES
3bf85d0aff5ddc0c57e43b879631ee692d98d01f5c964336471f1cdfe0d291f8 com.example.rat rat
7cb0eb93de496e2141b6e0541465ca71a84063867381085692885c75aa59cb1b com.pdf.searcher.dd Pdf Searcher
8ad18bd8f5d2f1fd9e00211170e8a540ddf7f51618588fab31b4ddd2b34b75e1 com.pdfd.researcher.resaq_ver1 Caller
c8e1a702a27309c22728792c64aad4abc14ec2bfad1b30a4f27b8ebc6bcc68ff com.sas.gservices.accesibility GSERVICES

C&C伺服器

3.95.71.123:3000

18.206.105.66:3000

40.114.109.69:3000

52.21.5.241:2000

釣魚網站

http://gooogle[.]press/

MITRE ATT&CK技術手法

攻擊戰略 技術手法 ID 介紹
初始進入 偽裝成正常應用程式 T1444 用於偽裝成正常聊天程式
持續性 利用裝置管理權限來避免被移除 T1401 用於要求裝置管理員權限
持續性 裝置啟動時應用程式會自動啟動 T1402 用於接收BOOT_COMPLETED 廣播
防禦逃脫 隱藏應用程式圖示 T1508 用於不讓圖示出現在應用程式櫃來隱藏被安裝的事實
發現 尋找檔案和目錄 T1420 用於掃描外部儲存裝置檔案系統
發現 追蹤位置 T1430 用於追蹤裝置位置
收集 取得電話紀錄 T1433 用於收集電話紀錄資料
收集 取得聯絡人列表 T1432 用於收集聯絡人資料
收集 擷取音頻 T1429 用於紀錄音頻資訊
收集 擷取簡訊 T1412 用於收集簡訊
收集 收集本地系統資料 T1533 用於收集裝置內檔案,包括文件、照片和多媒體檔案
收集 追蹤位置 T1430 用於追蹤裝置位置
收集 螢幕擷取 T1513 用於在裝置上進行螢幕截圖
滲出 標準應用程式協定 T1437 使用標準HTTP協定
命令和控制 非常用端口 T1509 使用非常見端口2000, 3000

@原文出處:Mobile Cyberespionage Campaign Distributed Through CallerSpy Mounts Initial Phase of a Targeted Attack 作者:Ecular Xu(行動威脅回應工程師)