Epäonninen Kamran: Android-haittaohjelmat vakoilevat Gilgit-Baltistanin urdua puhuvia asukkaita

ESET-tutkijat ovat havainneet hyökkäykseltä vaikuttavan alueellisen uutissivuston, joka välittää uutisia Gilgit-Baltistanista, Pakistanin hallitsemasta kiistanalaisesta alueesta. Mobiililaitteella avattaessa Hunza News -sivuston urdulainen versio tarjoaa lukijoille mahdollisuuden ladata Hunza News Android -sovelluksen suoraan verkkosivustolta, mutta sovelluksessa on haitallisia vakoilumahdollisuuksia. Nimesimme tämän aiemmin tuntemattoman vakoiluohjelman Kamraniksi sen paketin nimen vuoksi com.kamran.hunzanews. Kamran on yleinen etunimi Pakistanissa ja muilla urdua puhuvilla alueilla; farsiksi, jota jotkut Gilgit-Baltistanin vähemmistöt puhuvat, se tarkoittaa onnekasta tai onnekasta.

Hunza News -sivustolla on englannin- ja urdu-versiot; Englanninkielinen mobiiliversio ei tarjoa ladattavaa sovellusta. Kuitenkin urdu-versio mobiililaitteella tarjoaa Android-vakoiluohjelman lataamisen. On syytä mainita, että sekä englannin- että urdunkieliset työpöytäversiot tarjoavat myös Android-vakoiluohjelmia; se ei kuitenkaan ole yhteensopiva työpöytäkäyttöjärjestelmien kanssa. Otimme yhteyttä Android-haittaohjelmia koskevaan verkkosivustoon. Emme kuitenkaan saaneet vastausta ennen blogikirjoituksemme julkaisua.

Raportin pääkohdat:

• Android-vakoiluohjelmia, joille annoimme nimeksi Kamran, on levitetty Hunza News -sivuston mahdollisen hyökkäävän hyökkäyksen kautta.
• Haittaohjelma kohdistuu vain urdua puhuviin käyttäjiin Gilgit-Baltistanin alueella Pakistanin hallinnoima.
• Kamran-vakoiluohjelma näyttää Hunza News -sivuston sisällön ja sisältää mukautettua haittakoodia.
• Tutkimuksemme osoittaa, että ainakin 20 mobiililaitetta vaarantui.

Käynnistyksen yhteydessä haitallinen sovellus pyytää käyttäjää myöntämään sille oikeudet päästä käsiksi eri tietoihin. Jos se hyväksytään, se kerää tietoja yhteystiedoista, kalenteritapahtumista, puhelulokeista, sijaintitiedoista, laitetiedostoista, tekstiviesteistä, kuvista jne. Koska tätä haitallista sovellusta ei ole koskaan tarjottu Google Play -kaupan kautta ja se ladataan tuntemattomasta lähteestä, johon viitataan Googlen tuntemattomana, tämän sovelluksen asentamiseksi käyttäjää pyydetään ottamaan käyttöön mahdollisuus asentaa sovelluksia tuntemattomista lähteistä.

Haitallinen sovellus ilmestyi verkkosivustolle joskus 7 ja 2023 välisenä aikana; haitallisen sovelluksen kehittäjävarmenne myönnettiin 21. tammikuuta 2023. Tänä aikana protesteja pidettiin Gilgit-Baltistanissa useista syistä, kuten maaoikeuksista, verotushuoleista, pitkittyneistä sähkökatkoksista ja tuettujen vehnävarausten vähenemisestä. Kuvan 1 kartassa näkyvä alue on Pakistanin hallinnollisen hallinnon alainen, ja se koostuu laajemman Kashmirin alueen pohjoisosasta, joka on ollut Intian ja Pakistanin välisen kiistan kohteena vuodesta 1947 ja Intian ja Kiinan välillä vuodesta 1959.

Yleiskatsaus

Hunza News, todennäköisesti nimetty Hunzan piirin tai Hunzan laakson mukaan, on verkkolehti, joka toimittaa uutisia Gilgit-Baltistanin alue.

Alue, jolla on noin 1.5 miljoonaa asukasta, on kuuluisa eräistä maailman korkeimmista vuorista, joissa on viisi arvostetusta "kahdeksastuhannesta" (vuoret, joiden huippu on yli 8,000 2 metriä merenpinnan yläpuolella). K2023, ja siksi kansainväliset turistit, vaeltajat ja vuorikiipeilijät vierailevat siellä usein. Kevään 2023 mielenosoitusten ja syyskuussa XNUMX tapahtuvien muiden mielenosoitusten vuoksi US ja Kanada ovat antaneet tälle alueelle matkustusohjeita, ja Saksa suositeltujen turistien tulisi pysyä ajan tasalla nykyisestä tilanteesta.

Gilgit-Baltistan on myös tärkeä risteys Karakoram Highwayn, ainoan Pakistanin ja Kiinan yhdistävän moottoritien takia, koska sen avulla Kiina voi helpottaa kauppaa ja energian kauttakulkua pääsemällä Arabianmerelle. Valtatien Pakistanin osaa kunnostetaan ja parannetaan parhaillaan; ponnisteluja rahoittavat sekä Pakistan että Kiina. Moottoritie on usein tukkiutunut sään tai mielenosoitusten aiheuttamien vahinkojen vuoksi.

Hunza News -sivusto tarjoaa sisältöä kahdella kielellä: englanniksi ja urdu. Urdulla on englannin ohella kansallinen kieliasema Pakistanissa, ja Gilgit-Baltistanissa se toimii yhteisenä tai siltakielinä etnisten ryhmien välisessä viestinnässä. Hunza Newsin virallinen verkkotunnus on hunzanews.net, kirjattu May 22^nd, 2017, ja on siitä lähtien jatkuvasti julkaissut verkkoartikkeleita, kuten Internet-arkiston tiedot osoittavat hunzanews.net.

Ennen vuotta 2022 tämä verkkolehti käytti myös toista verkkotunnusta, hunzanews.com, kuten sivuston sivun läpinäkyvyystiedoissa mainitaan Facebook -sivullamme (katso kuva 2) ja hunzanews.comin Internet-arkiston tietueet, Internet-arkiston tiedot osoittavat myös, että hunzanews.com oli toimittanut uutisia vuodesta 2013 lähtien; siksi tämä verkkolehti julkaisi noin viiden vuoden ajan artikkeleita kahdella verkkosivustolla: hunzanews.net ja hunzanews.com. Tämä tarkoittaa myös sitä, että tämä verkkolehti on ollut aktiivinen ja kasvattanut verkkolukijoita yli 10 vuoden ajan.

Vuonna 2015, hunzanews.com alkoi tarjota laillista Android-sovellusta, kuten kuvassa 3 näkyy, joka oli saatavilla Google Play -kaupasta. Saatavilla olevien tietojen perusteella uskomme, että tästä sovelluksesta on julkaistu kaksi versiota, joista kumpikaan ei sisältänyt haitallisia toimintoja. Näiden sovellusten tarkoituksena oli esitellä verkkosivujen sisältö lukijoille käyttäjäystävällisellä tavalla.

Vuoden 2022 toisella puoliskolla uudet verkkosivut hunzanews.net tehtiin visuaalisia päivityksiä, mukaan lukien mahdollisuus ladata Android-sovellus Google Playsta. Lisäksi virallinen sovellus poistettiin Google Play -kaupasta, mikä johtuu todennäköisesti sen yhteensopimattomuudesta uusimpien Android-käyttöjärjestelmien kanssa.

Ainakin muutaman viikon ajan joulukuu 2022 asti tammikuu 7^th, 2023, verkkosivustolla ei ollut mahdollisuutta ladata virallista mobiilisovellusta, kuten kuvassa 4.

Internet-arkiston tietueiden perusteella on selvää, että ainakin siitä lähtien maaliskuu 21^st, 2023, sivusto toi uudelleen käyttöön mahdollisuuden, että käyttäjät voivat ladata Android-sovelluksen, joka on käytettävissä LATAA SOVELLUS -painikkeen kautta, kuten kuvassa 5. Ei ole tietoja 7. tammikuuta väliseltä ajalta.^th ja 21. maaliskuuta^st, 2023, mikä voi auttaa meitä määrittämään tarkan päivämäärän, jolloin sovellus ilmestyy uudelleen verkkosivustolle.

Analysoidessamme useita verkkosivuston versioita törmäsimme mielenkiintoiseen asiaan: verkkosivuston katseleminen työpöytäselaimella kummallakin Hunza Newsin kieliversiolla – englanti (hunzanews.net) tai urdu (urdu.hunzanews.net) – näyttää näkyvästi LATAA SOVELLUS -painikkeen verkkosivun yläosassa. Ladattu sovellus on natiivi Android-sovellus, jota ei voi asentaa pöytäkoneeseen ja se vaarantaa sen.

Mobiililaitteessa tämä painike on kuitenkin näkyvissä vain urdu-kieliversiossa (urdu.hunzanews.net), kuten kuvassa 6 näkyy.

Voimme suurella varmuudella vahvistaa, että haitallinen sovellus on kohdistettu erityisesti urdua puhuville käyttäjille, jotka käyttävät verkkosivustoa Android-laitteen kautta. Haitallinen sovellus on ollut saatavilla verkkosivustolla vuoden 2023 ensimmäisestä neljänneksestä lähtien.

Napsauttamalla LATAA SOVELLUS -painiketta käynnistää latauksen osoitteesta https://hunzanews[.]net/wp-content/uploads/apk/app-release.apk. Koska tätä haitallista sovellusta ei ole koskaan tarjottu Google Play -kaupan kautta ja se ladataan kolmannen osapuolen sivustolta tämän sovelluksen asentamista varten, käyttäjää pyydetään ottamaan käyttöön muu kuin oletusarvoinen Android-vaihtoehto sovellusten asentamiseksi tuntemattomista lähteistä.

Haitallinen sovellus, nimeltään Hunza News, on aiemmin tuntematon vakoiluohjelma, jonka nimesimme Kamraniksi ja jota analysoidaan alla olevassa Kamran-osiossa.

ESET Research otti yhteyttä Hunza Newsiin Kamranin osalta. Ennen blogikirjoituksemme julkaisua emme saaneet minkäänlaista palautetta tai vastausta verkkosivuston puolelta.

victimology

Tutkimuksemme tulosten perusteella pystyimme tunnistamaan ainakin 22 vaarantunutta älypuhelinta, joista viisi sijaitsee Pakistanissa.

Kamran

Kamran on aiemmin dokumentoimaton Android-vakoiluohjelma, jolle on ominaista sen ainutlaatuinen koodikoostumus, joka eroaa muista tunnetuista vakoiluohjelmista. ESET tunnistaa tämän vakoiluohjelman nimellä Android/Spy.Kamran.

Tunnistamme vain yhden version Kamranin sisältävästä haitallisesta sovelluksesta, joka on ladattavissa Hunza News -verkkosivustolta. Kuten Yleiskatsaus-osiossa selitettiin, emme voi määrittää tarkkaa päivämäärää, jolloin sovellus sijoitettiin Hunza News -verkkosivustolle. Kuitenkin siihen liittyvä kehittäjävarmenne (SHA-1-sormenjälki: DCC1A353A178ABF4F441A5587E15644A388C9D9C), jota käytettiin Android-sovelluksen allekirjoittamiseen, julkaistiin 10. tammikuuta^th, 2023. Tämä päivämäärä antaa pohjan haitallisen sovelluksen varhaisimmalle luomiselle.

Sen sijaan lailliset Hunza Newsin sovellukset, jotka olivat aiemmin saatavilla Google Playssa, allekirjoitettiin eri kehittäjävarmenteella (SHA-1-sormenjälki: BC2B7C4DF3B895BE4C7378D056792664FCEEC591). Näillä puhtailla ja laillisilla sovelluksilla ei ole koodin yhtäläisyyksiä tunnistetun haitallisen sovelluksen kanssa.

Käynnistyksen yhteydessä Kamran pyytää käyttäjää myöntämään luvat käyttää erilaisia ​​uhrin laitteelle tallennettuja tietoja, kuten yhteystietoja, kalenteritapahtumia, puhelulokeja, sijaintitietoja, laitetiedostoja, tekstiviestejä ja kuvia. Se tarjoaa myös käyttöliittymäikkunan, jossa on vaihtoehtoja vierailla Hunza News -sosiaalisen median tileillä ja valita joko englannin tai urdu kieli sisällön lataamista varten. hunzanews.net, kuten kuvassa 7 on esitetty.

Jos yllä mainitut luvat myönnetään, Kamran-vakoiluohjelma kerää automaattisesti arkaluonteisia käyttäjätietoja, mukaan lukien:

• Tekstiviestit
• yhteystietoluettelo
• puhelujen lokit
• kalenteritapahtumat
• laitteen sijainti
• asennettujen sovellusten luettelo
• vastaanotetut tekstiviestit
• laitetieto
• kuvien

Mielenkiintoista on, että Kamran tunnistaa käytettävissä olevat kuvatiedostot laitteessa (kuten kuvassa 8), hankkii näiden kuvien tiedostopolut ja tallentaa nämä tiedot images_db tietokanta, kuten kuvassa 9. Tämä tietokanta on tallennettu haittaohjelman sisäiseen muistiin.

Kaiken tyyppiset tiedot, mukaan lukien kuvatiedostot, ladataan kovakoodatulle komento- ja ohjauspalvelimelle (C&C). Mielenkiintoista on, että operaattorit valitsivat Firebasen, verkkoalustan, C&C-palvelimekseen: https://[REDACTED].firebaseio[.]com. C&C-palvelimesta ilmoitettiin Googlelle, koska alustan tarjoaa tämä teknologiayritys.

On tärkeää huomata, että haittaohjelmalla ei ole kauko-ohjausominaisuuksia. Tämän seurauksena käyttäjätiedot suodatetaan HTTPS:n kautta Firebase C&C -palvelimelle vain, kun käyttäjä avaa sovelluksen. tietojen suodatus ei voi toimia taustalla, kun sovellus on suljettu. Kamranilla ei ole mekanismia, joka seuraa, mitä tietoja on suodatettu, joten se lähettää toistuvasti samat tiedot sekä kaikki sen hakukriteerit täyttävät uudet tiedot C&C:lleen.

Yhteenveto

Kamran on aiemmin tuntematon Android-vakoiluohjelma, joka on suunnattu urdua puhuville ihmisille Gilgit-Baltistanin alueella. Tutkimuksemme osoittaa, että Kamranin sisältävä haitallinen sovellus on levitetty ainakin vuodesta 2023 lähtien, mikä on luultavasti hyökkäävä hyökkäys paikalliseen Hunza News -verkkolehteen.

Kamran esittelee ainutlaatuisen koodikannan, joka eroaa muista Android-vakoiluohjelmista ja estää sen liittämisen mihinkään tunnettuun kehittyneeseen pysyvään uhkaryhmään (APT).

Tämä tutkimus osoittaa myös, että on tärkeää toistaa, kuinka tärkeää on ladata sovelluksia yksinomaan luotettavista ja virallisista lähteistä.

Jos sinulla on kysyttävää WeLiveSecurityssä julkaistusta tutkimuksestamme, ota meihin yhteyttä osoitteessa uhkaintel@eset.com.
ESET Research tarjoaa yksityisiä APT-tietoraportteja ja tietosyötteitä. Jos sinulla on kysyttävää tästä palvelusta, käy osoitteessa ESET Threat Intelligence sivu.

IoC: t

Asiakirjat

SHA-1	Paketin nimi	Detection	Kuvaus
0F0259F288141EDBE4AB2B8032911C69E03817D2	com.kamran.hunzanews	Android/Spy.Kamran.A	Kamran vakoiluohjelmat.

verkko

IP	Domain	Palveluntarjoaja	Ensin nähty	Lisätiedot
34.120.160[.]131	[MUKAUTETTU].firebaseio[.]com	Google LLC	2023-07-26	C&C-palvelin.
191.101.13[.]235	hunzanews[.]net	Domain.com, LLC	2017-05-22	Jakelusivusto.

MITER ATT & CK -tekniikat

Tämä pöytä on rakennettu käyttämällä version 13 MITRE ATT&CK -kehyksestä.

Taktiikka	ID	Nimi	Kuvaus
Löytö	T1418	Ohjelmistojen löytäminen	Kamran-vakoiluohjelmat voivat saada luettelon asennetuista sovelluksista.
	T1420	Tiedostojen ja hakemistojen etsintä	Kamran-spyware voi luetella kuvatiedostoja ulkoiseen tallennustilaan.
	T1426	Järjestelmätietojen etsiminen	Kamran-vakoiluohjelmat voivat poimia tietoja laitteesta, mukaan lukien laitteen malli, käyttöjärjestelmäversio ja yleiset järjestelmätiedot.
Kokoelma	T1533	Paikallisen järjestelmän tiedot	Kamran-vakoiluohjelmat voivat suodattaa kuvatiedostoja laitteesta.
	T1430	Sijainninseuranta	Kamran-spyware seuraa laitteen sijaintia.
	T1636.001	Suojatut käyttäjätiedot: kalenterimerkinnät	Kamran-vakoiluohjelmat voivat poimia kalenterimerkintöjä.
	T1636.002	Suojatut käyttäjätiedot: Puhelulokit	Kamran-vakoiluohjelmat voivat poimia puhelulokeja.
	T1636.003	Suojatut käyttäjätiedot: Yhteystietolista	Kamran-spyware voi purkaa laitteen yhteystietoluettelon.
	T1636.004	Suojatut käyttäjätiedot: SMS-viestit	Kamran-vakoiluohjelmat voivat poimia tekstiviestejä ja siepata vastaanotetut tekstiviestit.
Command and Control	T1437.001	Sovelluskerrosprotokolla: Web -protokollat	Kamran-spyware käyttää HTTPS:ää kommunikoidakseen C&C-palvelimensa kanssa.
	T1481.003	Verkkopalvelu: yksisuuntainen viestintä	Kamran käyttää Googlen Firebase-palvelinta C&C-palvelimena.
exfiltration	T1646	Suodatus C2 -kanavan yli	Kamranin vakoiluohjelmat suodattavat tiedot HTTPS:n avulla.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.welivesecurity.com/en/eset-research/unlucky-kamran-android-malware-spying-urdu-speaking-residents-gilgit-baltistan/