Szerencsétlen Kamran: androidos rosszindulatú programok, amelyek Gilgit-Baltisztán urduul beszélő lakosai után kémkednek

Az ESET kutatói vízhiánynak tűnő támadást azonosítottak egy regionális hírportál ellen, amely Gilgit-Baltisztánról, a Pakisztán által irányított vitatott régióról közöl híreket. A Hunza News weboldal urdu verziója mobileszközön megnyitva lehetőséget kínál az olvasóknak a Hunza News Android alkalmazás letöltésére közvetlenül a weboldalról, azonban az alkalmazás rosszindulatú kémkedési képességekkel rendelkezik. Ezt a korábban ismeretlen kémprogramot a csomagnév miatt Kamran-nak neveztük el com.kamran.hunzanews. A Kamran gyakori keresztnév Pakisztánban és más urdu nyelvű régiókban; fárszi nyelven, amelyet Gilgit-Baltisztán egyes kisebbségei beszélnek, azt jelenti, hogy szerencsés vagy szerencsés.

A Hunza News weboldal angol és urdu verzióval rendelkezik; az angol mobil verzió nem biztosít letölthető alkalmazást. Azonban az urdu verzió mobileszközön kínálja az Android spyware letöltését. Érdemes megemlíteni, hogy az angol és az urdu asztali verziók is tartalmazzák az Android spyware-t; bár nem kompatibilis az asztali operációs rendszerekkel. Megkerestük az Android rosszindulatú programokkal kapcsolatos weboldalt. Blogbejegyzésünk megjelenése előtt azonban nem kaptunk választ.

A jelentés főbb pontjai:

• Az Android spyware-t, amelyet Kamrannak neveztünk el, a Hunza News webhelyen egy esetleges támadáson keresztül terjesztették.
• A rosszindulatú program csak az urduul beszélő felhasználókat célozza meg Gilgit-Baltisztánban, egy régióban Pakisztán igazgatja.
• A Kamran spyware a Hunza News webhely tartalmát jeleníti meg, és egyéni rosszindulatú kódot tartalmaz.
• Kutatásunk azt mutatja, hogy legalább 20 mobileszközt veszélyeztettek.

Indításkor a rosszindulatú alkalmazás felkéri a felhasználót, hogy adjon engedélyt különböző adatokhoz való hozzáféréshez. Ha elfogadják, adatokat gyűjt a névjegyekről, naptáreseményekről, hívásnaplókról, helyadatokról, eszközfájlokról, SMS-üzenetekről, képekről stb. Mivel ezt a rosszindulatú alkalmazást soha nem kínálták fel a Google Play Áruházban, és egy azonosítatlan forrásból töltik le mint a Google által ismeretlen, az alkalmazás telepítéséhez a felhasználónak engedélyeznie kell az ismeretlen forrásból származó alkalmazások telepítésének lehetőségét.

A rosszindulatú alkalmazás valamikor 7. január 2023. és 21. március 2023. között jelent meg a webhelyen; a rosszindulatú alkalmazás fejlesztői tanúsítványát 10. január 2023-én adták ki. Ez idő alatt tiltakozások Gilgit-Baltisztánban tartottak különféle okokból, ideértve a földjogokat, az adózási aggályokat, az elhúzódó áramkimaradásokat és a támogatott búzatartalékok csökkenését. Az 1. ábrán látható térképen látható régió Pakisztán közigazgatási irányítása alatt áll, a nagyobb kasmíri régió északi részéből áll, amely 1947 óta India és Pakisztán, 1959 óta pedig India és Kína közötti vita tárgya.

Áttekintés

A Hunza News, amely valószínűleg a Hunza kerületről vagy a Hunza-völgyről kapta a nevét, egy online újság, amely a Gilgit-Baltistan vidék.

A mintegy 1.5 millió lakosú régió híres arról, hogy a világ legmagasabb hegyei között találhatók a világ legmagasabb hegyei, amelyek ötnek adnak otthont a megbecsült „nyolcezerek” közül (olyan hegyek, amelyek csúcsa több mint 8,000 méteres tengerszint feletti magasságban van). K2, ezért gyakran látogatják a nemzetközi turisták, túrázók és hegymászók. A 2023 tavaszi és további 2023 szeptemberi tiltakozások miatt a US és a Kanada utazási tanácsokat adtak ki erre a régióra, és Németország A javasolt turisták tájékozódjanak a jelenlegi helyzetről.

Gilgit-Baltisztán fontos útkereszteződés a Karakoram Highway miatt is, amely az egyetlen motoros út, amely Pakisztánt és Kínát köti össze, mivel lehetővé teszi Kína számára, hogy megkönnyítse a kereskedelmet és az energiatranzitot az Arab-tenger elérésével. Az autópálya pakisztáni részét jelenleg rekonstruálják és korszerűsítik; az erőfeszítéseket Pakisztán és Kína is finanszírozza. Az autópályát gyakran elzárják az időjárás vagy a tiltakozások okozta károk.

A Hunza News weboldal két nyelven kínál tartalmat: angol és urdu. Az angol mellett az urdu nemzeti nyelvi státuszú Pakisztánban, Gilgit-Baltisztánban pedig az etnikumok közötti kommunikáció közös vagy hídnyelveként szolgál. A Hunza News hivatalos domainje hunzanews.net, nyilvántartott május 22^nd, 2017, és azóta folyamatosan publikál online cikkeket, amint azt az Internet Archívum hunzanews.net.

2022 előtt ez az online újság egy másik domaint is használt, hunzanews.com, amint azt az oldal átláthatósági információi is jelzik a webhelyen Facebook oldalt (lásd a 2. ábrát) és a hunzanews.com internetes archívumának rekordjait, az Internet Archívum adatai is azt mutatják, hogy hunzanews.com 2013 óta szállított híreket; ezért ez az online újság körülbelül öt éven keresztül két weboldalon közölt cikkeket: hunzanews.net és a hunzanews.com. Ez egyben azt is jelenti, hogy ez az online újság több mint 10 éve aktív és egyre nagyobb olvasóközönséget szerez.

A 2015, hunzanews.com törvényes Android-alkalmazást kezdett nyújtani, amint azt a 3. ábra mutatja, amely elérhető volt a Google Play Áruházban. A rendelkezésre álló adatok alapján úgy gondoljuk, hogy ennek az alkalmazásnak két verziója jelent meg, amelyek egyike sem tartalmazott rosszindulatú funkciókat. Ezen alkalmazások célja az volt, hogy a weboldal tartalmát felhasználóbarát módon mutassák be az olvasóknak.

2022 második felében az új weboldal hunzanews.net vizuális frissítéseken ment keresztül, beleértve az Android-alkalmazás Google Playről való letöltési lehetőségének eltávolítását. Ezenkívül a hivatalos alkalmazást eltávolították a Google Play Áruházból, valószínűleg azért, mert nem kompatibilis a legújabb Android operációs rendszerekkel.

Legalább néhány hétig december 2022 -ig január 7^th, 2023, a webhely nem biztosított lehetőséget a hivatalos mobilalkalmazás letöltésére, ahogy az a 4. ábrán látható.

Az Internet Archívum rekordjai alapján nyilvánvaló, hogy legalábbis azóta 21. március^st, 2023, a webhely újra bevezette a felhasználók számára az ALKALMAZÁS LETÖLTÉSE gombbal elérhető Android-alkalmazás letöltésének lehetőségét, amint az 5. ábrán látható. A január 7. közötti időszakra nincs adat^th és március 21-jén^st, 2023, ami segíthet meghatározni az alkalmazás webhelyen való újbóli megjelenésének pontos dátumát.

A weboldal több verziójának elemzése során érdekes dologra bukkantunk: a weboldal megtekintése asztali böngészőben a Hunza News bármelyik nyelvi verziójában – angol (hunzanews.net) vagy urdu (urdu.hunzanews.net) – jól láthatóan jeleníti meg az ALKALMAZÁS LETÖLTÉSE gombot a weboldal tetején. A letöltött alkalmazás egy natív Android-alkalmazás, amely nem telepíthető asztali számítógépre, és nem veszélyezteti azt.

Mobileszközön azonban ez a gomb kizárólag az urdu nyelvváltozaton látható (urdu.hunzanews.net), a 6. ábrán látható módon.

Nagy magabiztossággal állíthatjuk, hogy a rosszindulatú alkalmazás kifejezetten az urdu nyelvű felhasználókat célozza meg, akik Android-eszközön keresztül érik el a webhelyet. A rosszindulatú alkalmazás 2023 első negyedéve óta elérhető a weboldalon.

Az ALKALMAZÁS LETÖLTÉSE gombra kattintva letöltés indul innen https://hunzanews[.]net/wp-content/uploads/apk/app-release.apk. Mivel ezt a rosszindulatú alkalmazást soha nem kínálták fel a Google Play Áruházban, és egy harmadik fél webhelyéről töltik le az alkalmazás telepítéséhez, a felhasználónak engedélyeznie kell a nem alapértelmezett Android-lehetőséget az ismeretlen forrásokból származó alkalmazások telepítéséhez.

A Hunza News nevű rosszindulatú alkalmazás egy korábban ismeretlen kémprogram, amelyet Kamran-nak neveztünk el, és amelyet az alábbi Kamran rész elemez.

Az ESET Research megkereste a Hunza News-t Kamránnal kapcsolatban. Blogbejegyzésünk megjelenése előtt semmilyen visszajelzést vagy választ nem kaptunk a weboldal oldaláról.

viktimológiát

Kutatásunk eredményei alapján legalább 22 feltört okostelefont tudtunk azonosítani, közülük öt Pakisztánban található.

Kamran

A Kamran korábban nem dokumentált Android kémprogram, amelyet egyedi kódösszetétele jellemez, amely különbözik a többi ismert kémprogramtól. Az ESET ezt a kémprogramot a következőként észleli Android/Spy.Kamran.

A Kamran-t tartalmazó rosszindulatú alkalmazásnak csak egy verzióját azonosítottuk, amely letölthető a Hunza News webhelyről. Az Áttekintés részben leírtak szerint nem tudjuk pontosan megadni, hogy az alkalmazás mikor került a Hunza News webhelyre. Azonban a kapcsolódó fejlesztői tanúsítvány (SHA-1 ujjlenyomat: DCC1A353A178ABF4F441A5587E15644A388C9D9C), amelyet az Android alkalmazás aláírására használtak, január 10-én adták ki^th, 2023. Ez a dátum a rosszindulatú alkalmazás elkészítésének legkorábbi időpontjára vonatkozik.

Ezzel szemben a Hunza News legális alkalmazásai, amelyek korábban elérhetők voltak a Google Playen, más fejlesztői tanúsítvánnyal (SHA-1 ujjlenyomat) lettek aláírva. BC2B7C4DF3B895BE4C7378D056792664FCEEC591). Ezek a tiszta és legitim alkalmazások nem mutatnak hasonlóságot a kódban az azonosított rosszindulatú alkalmazással.

Az indításkor a Kamran felkéri a felhasználót, hogy adjon engedélyt az áldozat eszközén tárolt különféle adatokhoz, például névjegyekhez, naptáreseményekhez, hívásnaplókhoz, helyadatokhoz, eszközfájlokhoz, SMS-üzenetekhez és képekhez. Egy felhasználói felület ablakot is kínál, amely lehetőséget kínál a Hunza News közösségi média fiókjainak felkeresésére, valamint az angol vagy az urdu nyelv kiválasztására a tartalmak betöltéséhez. hunzanews.net, az 7. ábrán látható módon.

A fent említett engedélyek megadása esetén a Kamran spyware automatikusan összegyűjti az érzékeny felhasználói adatokat, beleértve:

• SMS üzenetek
• névjegyzék
• híváslista
• naptári események
• eszköz helye
• telepített alkalmazások listája
• kapott SMS üzeneteket
• eszköz információ
• képek

Érdekes módon a Kamran azonosítja a hozzáférhető képfájlokat az eszközön (amint az a 8. ábrán látható), beszerzi ezeknek a képeknek a fájl elérési útját, és eltárolja ezeket az adatokat egy images_db adatbázis, amint azt a 9. ábra mutatja. Ez az adatbázis a kártevő belső tárhelyén található.

Minden típusú adat, beleértve a képfájlokat is, egy merevkódolt parancs- és vezérlőkiszolgálóra (C&C) kerül feltöltésre. Érdekes módon az üzemeltetők a Firebase webes platformot választották C&C szerverként: https://[REDACTED].firebaseio[.]com. A C&C szervert jelentették a Google-nak, mivel a platformot ez a technológiai cég biztosítja.

Fontos megjegyezni, hogy a rosszindulatú program nem rendelkezik távirányító képességekkel. Ennek eredményeként a felhasználói adatok csak akkor kerülnek kiszivárgásra HTTPS-en keresztül a Firebase C&C szerverére, amikor a felhasználó megnyitja az alkalmazást; az adatok kiszűrése nem futhat a háttérben, ha az alkalmazás be van zárva. A Kamrannak nincs olyan mechanizmusa, amely nyomon követné, hogy milyen adatokat szűrtek ki, ezért ugyanazokat az adatokat, valamint a keresési feltételeknek megfelelő új adatokat ismételten elküldi a C&C-nek.

Következtetés

A Kamran egy korábban ismeretlen Android kémprogram, amely urduul beszélő embereket céloz meg Gilgit-Baltisztán régióban. Kutatásunk szerint a Kamran-t tartalmazó rosszindulatú alkalmazást legalább 2023 óta terjesztik egy Hunza News nevű helyi internetes újság elleni valószínűleg csapadékos támadáson keresztül.

A Kamran egy egyedi kódbázist mutat be, amely különbözik a többi Android kémprogramtól, megakadályozva, hogy bármely ismert fejlett tartós fenyegetés (APT) csoporthoz hozzárendeljék.

Ez a kutatás azt is mutatja, hogy fontos megismételni a kizárólag megbízható és hivatalos forrásokból származó alkalmazások letöltésének jelentőségét.

Ha bármilyen kérdése van a WeLiveSecurity-n közzétett kutatásunkkal kapcsolatban, forduljon hozzánk a következő címen veszélyintel@eset.com.
Az ESET Research privát APT intelligenciajelentéseket és adatfolyamokat kínál. Ha bármilyen kérdése van a szolgáltatással kapcsolatban, keresse fel a ESET Threat Intelligence cimre.

IoCs

Fájlok

SHA-1	Csomag név	Érzékelés	Leírás
0F0259F288141EDBE4AB2B8032911C69E03817D2	com.kamran.hunzanews	Android/Spy.Kamran.A	Kamran spyware.

Hálózat

IP	Domén	Tárhelyszolgáltató	Először látott	Részletek
34.120.160[.]131	[REDACTED].firebaseio[.]com	Google LLC	2023-07-26	C&C szerver.
191.101.13[.]235	hunzanews[.]net	Domain.com, LLC	2017-05-22	Elosztó weboldal.

MITER ATT&CK technikák

Ez a táblázat felhasználásával készült 13 verzió a MITER ATT&CK keretrendszer.

taktika	ID	Név	Leírás
Felfedezés	T1418	Szoftver felfedezés	A Kamran spyware lekérheti a telepített alkalmazások listáját.
	T1420	Fájl- és könyvtárfelderítés	A Kamran spyware képes listázni a külső tárolón lévő képfájlokat.
	T1426	Rendszerinformációk felfedezése	A Kamran spyware információkat nyerhet ki az eszközről, beleértve az eszköz modelljét, az operációs rendszer verzióját és a közös rendszerinformációkat.
Gyűjtemény	T1533	Adatok a helyi rendszerből	A Kamran spyware képes kiszűrni a képfájlokat az eszközről.
	T1430	Helymeghatározás	A Kamran spyware nyomon követi az eszköz helyét.
	T1636.001	Védett felhasználói adatok: naptárbejegyzések	A Kamran spyware ki tudja bontani a naptárbejegyzéseket.
	T1636.002	Védett felhasználói adatok: Hívásnaplók	A Kamran spyware képes kibontani a hívásnaplókat.
	T1636.003	Védett felhasználói adatok: Névjegylista	A Kamran spyware ki tudja bontani az eszköz névjegyzékét.
	T1636.004	Védett felhasználói adatok: SMS üzenetek	A Kamran spyware kivonhatja az SMS-eket, és elfoghatja a fogadott SMS-eket.
Vezetési és Irányítási	T1437.001	Alkalmazási réteg protokoll: Web Protocols	A Kamran spyware HTTPS-t használ a C&C szerverével való kommunikációhoz.
	T1481.003	Webszolgáltatás: egyirányú kommunikáció	A Kamran a Google Firebase szerverét használja C&C szerverként.
Kiszűrés	T1646	Exfiltration Over C2 Channel	A Kamran spyware HTTPS használatával szivárog ki az adatokból.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.welivesecurity.com/en/eset-research/unlucky-kamran-android-malware-spying-urdu-speaking-residents-gilgit-baltistan/