Malchanceux Kamran : un malware Android espionne les résidents parlant ourdou du Gilgit-Baltistan

Les chercheurs d'ESET ont identifié ce qui semble être une attaque de point d'eau contre un site d'information régional qui diffuse des informations sur le Gilgit-Baltistan, une région contestée administrée par le Pakistan. Lorsqu'elle est ouverte sur un appareil mobile, la version ourdou du site Web Hunza News offre aux lecteurs la possibilité de télécharger l'application Android Hunza News directement depuis le site Web, mais l'application dispose de capacités d'espionnage malveillantes. Nous avons nommé ce logiciel espion jusqu'alors inconnu Kamran en raison de son nom de package. com.kamran.hunzanews. Kamran est un prénom courant au Pakistan et dans d'autres régions de langue ourdou ; en farsi, parlé par certaines minorités du Gilgit-Baltistan, cela signifie chanceux ou chanceux.

Le site Web Hunza News propose des versions en anglais et en ourdou ; la version mobile anglaise ne propose aucune application à télécharger. Cependant, la version ourdou sur mobile propose de télécharger le logiciel espion Android. Il convient de mentionner que les versions de bureau en anglais et en ourdou proposent également le logiciel espion Android ; cependant, il n'est pas compatible avec les systèmes d'exploitation de bureau. Nous avons contacté le site Web concernant le malware Android. Cependant, avant la publication de notre article de blog, nous n'avons reçu aucune réponse.

Points clés du rapport :

• Le logiciel espion Android, que nous avons nommé Kamran, a été distribué via une possible attaque de point d'eau sur le site Web Hunza News.
• Le malware cible uniquement les utilisateurs parlant ourdou au Gilgit-Baltistan, une région administré par le Pakistan.
• Le logiciel espion Kamran affiche le contenu du site Web Hunza News et contient du code malveillant personnalisé.
• Nos recherches montrent qu'au moins 20 appareils mobiles ont été compromis.

Lors du lancement, l'application malveillante invite l'utilisateur à lui accorder les autorisations nécessaires pour accéder à diverses données. Si elle est acceptée, elle collecte des données sur les contacts, les événements du calendrier, les journaux d'appels, les informations de localisation, les fichiers de l'appareil, les messages SMS, les images, etc. Comme cette application malveillante n'a jamais été proposée via le Google Play Store et est téléchargée à partir d'une source non identifiée mentionnée comme Inconnu par Google, pour installer cette application, l'utilisateur est invité à activer l'option d'installation d'applications provenant de sources inconnues.

L'application malveillante est apparue sur le site Web entre le 7 janvier 2023 et le 21 mars 2023 ; le certificat de développeur de l'application malveillante a été délivré le 10 janvier 2023. Pendant cette période, protestations étaient détenus au Gilgit-Baltistan pour diverses raisons incluant les droits fonciers, des problèmes fiscaux, des pannes de courant prolongées et une baisse des approvisionnements en blé subventionné. La région, représentée sur la carte de la figure 1, est sous la gouvernance administrative du Pakistan et comprend la partie nord de la plus grande région du Cachemire, qui fait l'objet d'un différend entre l'Inde et le Pakistan depuis 1947 et entre l'Inde et la Chine depuis 1959.

Vue d’ensemble

Hunza News, probablement nommé d'après le district de Hunza ou la vallée de Hunza, est un journal en ligne diffusant des informations sur la Gilgit-Baltistan région.

La région, avec une population d'environ 1.5 million d'habitants, est célèbre pour la présence de certaines des plus hautes montagnes du monde, abritant cinq des estimés « huit mille » (montagnes culminant à plus de 8,000 2 mètres d'altitude), notamment K2023, et est donc fréquemment visité par les touristes internationaux, les randonneurs et les alpinistes. En raison des manifestations du printemps 2023 et d’autres en septembre XNUMX, le US ainsi que les Canada ont émis des avis aux voyageurs pour cette région, et Allemagne il est suggéré aux touristes de rester informés de la situation actuelle.

Le Gilgit-Baltistan est également un carrefour important en raison de l’autoroute du Karakoram, la seule route carrossable reliant le Pakistan et la Chine, car elle permet à la Chine de faciliter le commerce et le transit énergétique en accédant à la mer d’Oman. La partie pakistanaise de l'autoroute est actuellement en cours de reconstruction et de modernisation ; les efforts sont financés à la fois par le Pakistan et la Chine. L'autoroute est fréquemment bloquée par des dégâts causés par les intempéries ou des manifestations.

Le site Web Hunza News propose du contenu en deux langues : anglais et Ourdou. Aux côtés de l'anglais, l'ourdou détient le statut de langue nationale au Pakistan et, au Gilgit-Baltistan, il sert de langue commune ou de passerelle pour les communications interethniques. Le domaine officiel de Hunza News est hunzanews.net, inscrit mai 22^nd, 2017, et publie depuis lors régulièrement des articles en ligne, comme en témoignent les données Internet Archive pour hunzanews.net.

Avant 2022, ce journal en ligne utilisait également un autre domaine, hunzanews.com, comme indiqué dans les informations de transparence de la page sur le site page Facebook (voir Figure 2) et les enregistrements Internet Archive de hunzanews.com, les données Internet Archive montrent également que hunzanews.com diffusait des informations depuis 2013; ainsi, pendant environ cinq ans, ce journal en ligne publiait des articles via deux sites Internet : hunzanews.net ainsi que les hunzanews.com. Cela signifie également que ce journal en ligne est actif et gagne du lectorat en ligne depuis plus de 10 ans.

En 2015, hunzanews.com a commencé à fournir une application Android légitime, comme le montre la figure 3, qui était disponible sur le Google Play Store. Sur la base des données disponibles, nous pensons que deux versions de cette application ont été publiées, aucune ne contenant de fonctionnalité malveillante. Le but de ces applications était de présenter le contenu du site Web aux lecteurs de manière conviviale.

Au second semestre 2022, le nouveau site Internet hunzanews.net a subi des mises à jour visuelles, y compris la suppression de l'option de téléchargement de l'application Android depuis Google Play. De plus, l'application officielle a été supprimée du Google Play Store, probablement en raison de son incompatibilité avec les derniers systèmes d'exploitation Android.

Pendant quelques semaines, à partir d'au moins Décembre 2022 jusqu'à Janvier 7^th2023, le site Web ne proposait aucune option permettant de télécharger l'application mobile officielle, comme le montre la figure 4.

Sur la base des archives Internet, il est évident qu'au moins depuis Mars 21^st2023, le site Web a réintroduit la possibilité pour les utilisateurs de télécharger une application Android, accessible via le bouton TÉLÉCHARGER L'APP, comme le montre la figure 5. Il n'existe aucune donnée pour la période comprise entre le 7 janvier et^th et 21 Mars^st, 2023, ce qui pourrait nous aider à déterminer la date exacte de la réapparition de l'application sur le site.

En analysant plusieurs versions du site Web, nous sommes tombés sur quelque chose d'intéressant : afficher le site Web dans un navigateur de bureau dans l'une ou l'autre version linguistique de Hunza News – anglais (hunzanews.net) ou ourdou (ourdou.hunzanews.net) – affiche bien en évidence le bouton TÉLÉCHARGER L'APPLI en haut de la page Web. L'application téléchargée est une application Android native qui ne peut pas être installée sur un ordinateur de bureau et la compromettre.

Cependant, sur un appareil mobile, ce bouton est exclusivement visible sur la variante en langue ourdou (ourdou.hunzanews.net), comme le montre la figure 6.

Avec un haut degré de confiance, nous pouvons affirmer que l’application malveillante cible spécifiquement les utilisateurs parlant ourdou qui accèdent au site Web via un appareil Android. L’application malveillante est disponible sur le site Internet depuis le premier trimestre 2023.

Cliquer sur le bouton TÉLÉCHARGER L'APP déclenche un téléchargement depuis https://hunzanews[.]net/wp-content/uploads/apk/app-release.apk. Comme cette application malveillante n'a jamais été proposée via le Google Play Store et est téléchargée à partir d'un site tiers pour installer cette application, l'utilisateur est invité à activer l'option Android, autre que celle par défaut, pour installer des applications provenant de sources inconnues.

L'application malveillante, appelée Hunza News, est un logiciel espion jusqu'alors inconnu que nous avons nommé Kamran et qui est analysé dans la section Kamran ci-dessous.

ESET Research a contacté Hunza News concernant Kamran. Avant la publication de notre article de blog, nous n'avons reçu aucune forme de retour ou de réponse de la part du site Web.

Victimologie

Sur la base des résultats de nos recherches, nous avons pu identifier au moins 22 smartphones compromis, dont cinq se trouvent au Pakistan.

Kamran

Kamran est un logiciel espion Android jusqu'alors non documenté, caractérisé par sa composition de code unique, distincte des autres logiciels espions connus. ESET détecte ce logiciel espion comme Android/Spy.Kamran.

Nous n'avons identifié qu'une seule version d'une application malveillante contenant Kamran, celle disponible en téléchargement sur le site Web Hunza News. Comme expliqué dans la section Présentation, nous ne sommes pas en mesure de préciser la date exacte à laquelle l'application a été placée sur le site Web de Hunza News. Cependant, le certificat du développeur associé (empreinte digitale SHA-1 : DCC1A353A178ABF4F441A5587E15644A388C9D9C), utilisé pour signer l'application Android, a été publié le 10 janvier^th, 2023. Cette date fournit un plancher pour la première fois où l'application malveillante a été créée.

En revanche, les applications légitimes de Hunza News qui étaient auparavant disponibles sur Google Play étaient signées avec un certificat de développeur différent (empreinte digitale SHA-1 : BC2B7C4DF3B895BE4C7378D056792664FCEEC591). Ces applications propres et légitimes ne présentent aucune similitude de code avec l’application malveillante identifiée.

Lors du lancement, Kamran invite l'utilisateur à accorder des autorisations pour accéder à diverses données stockées sur l'appareil de la victime, telles que les contacts, les événements du calendrier, les journaux d'appels, les informations de localisation, les fichiers de l'appareil, les messages SMS et les images. Il présente également une fenêtre d'interface utilisateur, offrant des options pour visiter les comptes de réseaux sociaux Hunza News et pour sélectionner la langue anglaise ou ourdou pour charger le contenu de hunzanews.net, comme le montre la figure 7.

Si les autorisations mentionnées ci-dessus sont accordées, le logiciel espion Kamran collecte automatiquement les données sensibles des utilisateurs, notamment :

• SMS
• liste de contacts
• journaux d'appels
• événements de calendrier
• emplacement de l'appareil
• liste des applications installées
• SMS reçus
• Info appareil
• satellite

Il est intéressant de noter que Kamran identifie les fichiers d'images accessibles sur l'appareil (comme illustré dans la figure 8), obtient les chemins d'accès aux fichiers de ces images et stocke ces données dans un fichier. images_db base de données, comme le montre la figure 9. Cette base de données est stockée dans la mémoire interne du logiciel malveillant.

Tous les types de données, y compris les fichiers image, sont téléchargés sur un serveur de commande et de contrôle (C&C) codé en dur. Il est intéressant de noter que les opérateurs ont choisi d'utiliser Firebase, une plate-forme Web, comme serveur C&C : https://[REDACTED].firebaseio[.]com. Le serveur C&C a été signalé à Google, car la plateforme est fournie par cette société technologique.

Il est important de noter que le malware ne dispose pas de capacités de contrôle à distance. En conséquence, les données utilisateur sont exfiltrées via HTTPS vers le serveur Firebase C&C uniquement lorsque l'utilisateur ouvre l'application ; l'exfiltration de données ne peut pas s'exécuter en arrière-plan lorsque l'application est fermée. Kamran ne dispose d'aucun mécanisme permettant de suivre les données qui ont été exfiltrées. Il envoie donc à plusieurs reprises les mêmes données, ainsi que toutes les nouvelles données répondant à ses critères de recherche, à son C&C.

Conclusion

Kamran est un logiciel espion Android jusqu'alors inconnu ciblant les personnes parlant ourdou dans la région du Gilgit-Baltistan. Nos recherches indiquent que l'application malveillante contenant Kamran est distribuée depuis au moins 2023 via ce qui est probablement une attaque de point d'eau contre un journal local en ligne nommé Hunza News.

Kamran présente une base de code unique, distincte des autres logiciels espions Android, empêchant son attribution à un groupe de menaces persistantes avancées (APT) connu.

Cette recherche montre également qu’il est important de réitérer l’importance de télécharger des applications exclusivement à partir de sources fiables et officielles.

Pour toute question concernant nos recherches publiées sur WeLiveSecurity, veuillez nous contacter à menaceintel@eset.com.
ESET Research propose des rapports d'intelligence APT privés et des flux de données. Pour toute demande concernant ce service, rendez-vous sur Intelligence des menaces ESET .

IoCs

Fichiers

SHA-1	Nom du paquet	Détection	Description
0F0259F288141EDBE4AB2B8032911C69E03817D2	com.kamran.hunzanews	Android/Spy.Kamran.A	Logiciel espion Kamran.

Réseau

IP	Domaine	Fournisseur d'hébergement	Vu la première fois	Détails
34.120.160[.]131	[SUPPRIMÉ].firebaseio[.]com	Google LLC	2023-07-26	Serveur C&C.
191.101.13[.]235	hunzanews[.]net	Domaine.com, LLC	2017-05-22	Site de diffusion.

Techniques d'ATT&CK D'ONGLET

Ce tableau a été construit avec Version 13 du cadre MITRE ATT&CK.

Tactique	ID	Nom	Description
Découverte	T1418	Découverte de logiciels	Le logiciel espion Kamran peut obtenir une liste des applications installées.
	T1420	Découverte de fichiers et de répertoires	Le logiciel espion Kamran peut répertorier les fichiers image sur un stockage externe.
	T1426	Découverte des informations système	Le logiciel espion Kamran peut extraire des informations sur l'appareil, notamment le modèle de l'appareil, la version du système d'exploitation et des informations système courantes.
Collection	T1533	Données du système local	Le logiciel espion Kamran peut exfiltrer des fichiers image d'un appareil.
	T1430	Suivi d'emplacement	Le logiciel espion Kamran suit l'emplacement de l'appareil.
	T1636.001	Données utilisateur protégées : entrées de calendrier	Le logiciel espion Kamran peut extraire des entrées de calendrier.
	T1636.002	Données utilisateur protégées : journaux d'appels	Le logiciel espion Kamran peut extraire les journaux d'appels.
	T1636.003	Données utilisateur protégées : liste de contacts	Le logiciel espion Kamran peut extraire la liste de contacts de l'appareil.
	T1636.004	Données utilisateur protégées : messages SMS	Le logiciel espion Kamran peut extraire les messages SMS et intercepter les SMS reçus.
Commander et contrôler	T1437.001	Protocole de couche d'application : protocoles Web	Le logiciel espion Kamran utilise HTTPS pour communiquer avec son serveur C&C.
	T1481.003	Service Web : communication unidirectionnelle	Kamran utilise le serveur Firebase de Google comme serveur C&C.
exfiltration	T1646	Exfiltration sur le canal C2	Le logiciel espion Kamran exfiltre les données via HTTPS.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.welivesecurity.com/en/eset-research/unlucky-kamran-android-malware-spying-urdu-speaking-residents-gilgit-baltistan/