Android 間諜軟體ActionSpy, 用新聞網頁為餌進行漏洞攻擊

在追踪Earth Empura(也被稱為POISON CARP/Evil Eye)時,趨勢科技發現了一個未被記錄過的Android間諜軟體並命名為ActionSpy(趨勢科技偵測為AndroidOS_ActionSpy.HRX)。在2020年第一季,我們觀察到Earth Empusa駭客集團針對西藏和土耳其使用者的攻擊活動,然後又將觸手伸到了台灣。據報他們的攻擊活動是透過入侵Android和iOS行動裝置來針對維吾爾族相關受害者。這個駭客集團已知會使用水坑攻擊,但最近我們也觀察到他們用網路釣魚(Phishing)攻擊來散播惡意軟體。

用來感染行動裝置的惡意軟體被發現與2016年以來一連串的iOS漏洞攻擊鏈攻擊有關。在2020年4月,我們注意到一個釣魚網頁偽裝成一款西藏Android熱門影片應用程式的下載頁面。這釣魚網頁看起來是拷貝自第三方網路商店,可能是由Earth Empusa建立。會這樣推論的原因是網頁注入的惡意腳本之一託管在該駭客集團所有的網域。我們在檢查下載的Android應用程式後發現了ActionSpy。

圖1. Earth Empusa攻擊鏈

從四個即時通應用程式收集聊天紀錄以監聽訊息


ActionSpy可能從2017年開始就已經存在,這是個能夠讓攻擊者從受感染裝置收集資訊的Android間諜軟體。它還具備一個模組來用Android無障礙功能從四個即時通應用程式收集聊天紀錄以監聽即時通訊息。

Earth Empusa使用網路釣魚頁面的方式跟我們最近報導過的毒化新聞行動(Operation Poisoned News)類似,一樣用新聞網頁作為誘餌來對行動裝置進行漏洞攻擊。Earth Empusa還會用社交工程誘餌來誘騙目標瀏覽釣魚網頁。我們在2020年3月發現他們的伺服器出現了拷貝自維吾爾族相關新聞網站的新聞網頁。所有網頁都被注入腳本來載入跨站腳本框架BeEF。我們懷疑當目標受害者瀏覽上述網站時,攻擊者會利用該框架來派送惡意腳本。不過當我們試著瀏覽上述釣魚網頁來進一步調查時並沒有發現腳本出現。這些網頁的散播機制目前仍不清楚。

圖2. 假新聞網頁拷貝世界維吾爾代表大會網站用來載入BeEF框架

在 2020年4月下旬繼續進行調查時,我們發現另一個似乎是拷貝第三方網路商店的釣魚網頁,而且會注入兩個腳本來載入ScanBox和BeEF框架。這個釣魚網頁會邀請使用者下載藏族Android使用者熟知的影片應用程式。我們認為這個網頁是由Earth Empusa所建立,因為BeEF框架是運行在據稱屬於該駭客集團的網域。下載連結會連到包含Android應用程式的壓縮檔。經過分析後發現這是一個未被記錄過的Android間諜軟體,我們將其命名為ActionSpy。


圖3和圖4. 假Android應用程式下載網頁(原文和英文翻譯)

5. 釣魚網頁注入的ScanBox(上)和BeEF(下)顯示與Earth Empusa網域重疊之處

深入ActionSpy


這個惡意軟體偽裝成一個維吾爾族影片應用程式Ekran。它具備了跟正版相同的外觀和功能,這點是利用VirtualApp來做到。此外它還利用Bangcle保護來躲避靜態分析和偵測。

圖6. ActionSpy的圖示(左)和外觀(右)
圖7. ActionSpy使用Bangcle進行保護

正常的Ekran APK檔案被內嵌在ActionSpy的assets資料夾,會在ActionSpy首次啟動準備好VirtualApp後安裝入虛擬環境。

圖8和9. 安裝真正的Ekran(上)並啟動(下)

ActionSpy的設定(包括其C&C伺服器地址)使用DES加密。解密金鑰是用原生程式碼產生。這讓ActionSpy難以進行靜態分析。

ActionSpy每隔30秒就會收集基本裝置資訊


ActionSpy每隔30秒就會收集基本裝置資訊(如IMEI、電話號碼、製造商、電池狀態等)傳送給C&C伺服器。伺服器可能會返回在受感染裝置上執行的命令。C&C與ActionSpy間的通訊流量都經過RSA加密並透過HTTP傳輸。

圖10. 收集的裝置資訊

ActionSpy支援下列模組:

模組名稱敘述
location取得裝置位置經緯度
geo取得地理區域如省、市、區、街道地址
contacts取得聯絡人資訊
calling取得電話紀錄
sms取得簡訊
nettrace取得瀏覽器書籤
software取得已安裝應用程式資訊
process取得執行中程序資訊
wifi connect讓裝置連接指定無線熱點
wifi disconnect讓裝置中斷無線網路
wifi list取得所有可用無線熱點資訊
dir收集SD卡上指定類型檔案的列表,如txt、jpg、mp4、doc、xls…
file上傳裝置檔案到C&C伺服器
voice錄環境音
camera用鏡頭拍照
screen螢幕截圖
wechat取得微信資料夾結構
wxfile取得微信接收或送出的檔案
wxrecord取得微信、QQ、WhatsApp和Viber的聊天紀錄

要求開啟無障礙服務,聲稱是記憶體垃圾清理服務


一般來說,在Android上的第三方應用程式不能存取不屬於自己的檔案。這讓ActionSpy難以在沒有root權限下竊取微信等即時通應用程式的聊天紀錄檔。所以ActionSpy用了間接作法:要求使用者開啟無障礙服務,聲稱自己是記憶體垃圾清理服務。

圖11. 提示開啟無障礙功能

一旦使用者開啟無障礙功能服務後,ActionSpy會監視裝置的無障礙功能事件,出現在使用者介面出現”顯著”變化(如點擊按鈕、輸入文字或畫面改變)時。當收到無障礙功能事件,ActionSpy會檢查事件類型是否為VIEW_SCROLLEDWINDOW_CONTENT_CHANGED,然後檢查事件是否來自如微信、QQ、WhatsApp和Viber等目標應用程式。如果滿足以上條件,則ActionSpy會分析當前活動內容並提取如暱稱、聊天內容和聊天時間等資訊。所有的聊天資訊都會經過整理並儲存到一個本地端SQLite資料庫。當送出wxrecord命令時,ActionSpy會收集資料庫內的聊天記錄並轉成JSON格式,接著傳送到C&C伺服器。

圖12. 解析聊天資訊用的程式碼

根據其憑證簽章時間(2017-07-10),我們認為ActionSpy至少已經存在了三年。我們還找到一些在2017年製作的舊ActionSpy版本。

圖13. 憑證資訊

圖14. 早期版本(製作於2017年)

Earth Empusa針對iOS系統的水坑攻擊

Earth Empusa還會用水坑攻擊來入侵iOS裝置。駭客集團將惡意腳本注入到目標可能瀏覽的網站來載入注入腳本。我們發現他們對入侵網站注入了兩種攻擊:

  • 一種是用ScanBox框架來對網站訪客收集資訊,該框架會利用JavaScript記錄按鍵並從客戶端環境收集作業系統、瀏覽器和瀏覽器擴充套件的配置檔案。這個框架通常被用在偵察階段,好了解目標並為下一階段的攻擊做準備。
  • 另一種是他們的漏洞攻擊鏈框架,它會攻擊iOS裝置的漏洞。該框架會檢查HTTP請求的User-Agent標頭來判定受害者裝置的iOS版本,並用對應的漏洞攻擊碼來進行回應。如果User-Agent不屬於目標iOS版本之內,則該框架不會送出任何惡意擋案。
圖15. iOS漏洞攻擊鏈流量樣本

在2020年第一季,漏洞攻擊鏈框架升級包含了針對iOS 12.3、12.3.1和12.3.2的新iOS漏洞攻擊碼。其他研究人員也發表了關於此更新漏洞攻擊碼的詳細資訊。

圖16. 用來判定iOS版本和啟動漏洞攻擊碼的腳本

我們自2020年初就開始在多個維吾爾族相關網站觀察到這些注入攻擊。此外,我們也發現到土耳其的新聞網站和政黨網站被入侵並遭遇相同的注入攻擊。最新發展則是我們在2020年3月在台灣的大學網站和旅行社網站發現相同的注入攻擊。這些發展讓人相信Earth Empusa正在擴大其目標範圍。

最佳實作和解決方案

Earth Empusa仍然相當的活躍。隨著駭客集團不斷地開發攻擊目標的新方法,我們也會持續地進行追蹤和監視。

建議iOS的使用者要記得更新系統。此外也建議Android使用者只從受信任來源(如Google Play)安裝應用程式來避免遇到惡意軟體。

使用者還可以安裝如 趨勢科技行動安全防護等能夠封鎖惡意應用程式的安全解決方案。一般使用者可以得益於其多層次安全防護功能來保護裝置擁有者的資料和隱私,並提供能夠抵禦勒索軟體、詐騙網站和身份竊取等威脅的防護功能。

對於企業,趨勢科技的行動安全防護企業版提供了裝置、合規性和應用程式管理,資料保護和設定配置,同時能夠保護裝置抵禦漏洞攻擊,防止對應用程式未經授權的存取以及偵測並封鎖惡意軟體和詐騙網站。趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習(Machine learning,ML)技術來涵蓋Android和iOS上的威脅。能夠保護使用者解決惡意軟體、零時差攻擊和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。

入侵指標

下列的惡意軟體都被偵測為AndroidOS_ActionSpy.HRX。

SHA256套件名稱標籤
56a2562426e504f42ad9aa2bd53445d8e299935c817805b0d9b9431521769271com.omn.vviEkran
b6e2fdbf022cd009585f62a3de71464014edd58125eb7bc15c2c670d6d5d3590com.isyjv.klxblnwc.r系统优化
de6065c63f05f8cddaec2f43a3789cca7d8e16221bd04bf3ce8092809b146ebecom.isyjv.klxblnwc.r系统优化
2117e2252fe268136a2833202d746d67bf592de819cc1600ac8d9f2738d8d4d6com.isyjv.klxblnwcService Runtime Library
588b62a2e0bffa8935cd08ae46255a972b0af4966483967a3046a5df59d38406com.isyjv.klxblnwcService Runtime Library
d6478b4b7f0ea38947d894b1a87baf4bed7a1ece934fff9dfc233610de232814com.isyjv.klxblnwcService Runtime Library
8d0a123e0fe91637fb41d9d9650a4b9c75b6ce77a2b51ac36f05a337da7afd80com.ecs.esapService Runtime Library
9bc16f635fde4ff0b6b02b445a706d885779611b7813c5607ab88fdff43fcc2fcom.cd.weixinVWechat
334dbd15289aaeaf3763f1702003de52ff709515246902f51ee87a41467a8e55com.android.dmp.recRecording
50c10ab93910a6e617c85a03f8c38a10a7c363e2d37b745964e696da8f98a93dcom.android.dmp.recRecording
6575eeda2a8f76170fb6034944eeda5c88dac8009edccc880124fa729dd3c1fdcom.android.dmp.lLocation
eff30f6cc2d5d04ce4aef0c50f1fb375fb817a803bf3e8e08c847f04658185bacom.android.dmp.lLocation
a0a48d7e0762ab24b2ec3ec488b011db866992db5392926fe43dd3d1c398e30dcom.android.dmp.cmCamera
088769a80b39d0da26c676a5a52eaccdb805dc67cba85e562785c375c642b501com.android.dmp.cCore
87306b59aaaba0ea92ea6a05feb9366eeb625e8da08ed3ef6c86a5cf394fada5com.android.dmp.cCore
指摽類型
gotossl.mlEarth Empusa用的網域
goforssl.topEarth Empusa用的網域
geo2ipapi.orgEarth Empusa用的網域
appbuliki.comEarth Empusa用的網域
umutyole.comEarth Empusa用的網域
t.freenunn.comEarth Empusa用的網域
start.apiforssl.comEarth Empusa用的網域
bloomberg.com.cmEarth Empusa用的網域
static.apiforssl.comEarth Empusa用的網域
cdn.doublesclick.meEarth Empusa用的網域
static.doublesclick.infoEarth Empusa用的網域
status.search-sslkey-flush.comEarth Empusa用的網域
http://114.215.41.93/ActionSpy的C&C網址
http://static.doubles.click:8082/ActionSpy的C&C網址

MITRE ATT&CK

@原文出處:New Android Spyware ActionSpy Revealed via Phishing Attacks from Earth Empusa 作者:Ecular Xu和Joseph C. Chen(趨勢科技