קמראן חסר המזל: תוכנות זדוניות אנדרואיד מרגלות אחר תושבי גילגיט-בלטיסטן דוברי אורדו

קמראן חסר המזל: תוכנות זדוניות אנדרואיד מרגלות אחר תושבי גילגיט-בלטיסטן דוברי אורדו

חותמת זמן: 9 בנובמבר 2023 5:30
צומת המקור: 2969198

חוקרי ESET זיהו מה שנראה כהתקפת בור מים באתר חדשות אזורי המעביר חדשות על גילגיט-בלטיסטאן, אזור שנוי במחלוקת המנוהלת על ידי פקיסטן. כשהיא נפתחת במכשיר נייד, גרסת האורדו של אתר Hunza News מציעה לקוראים את האפשרות להוריד את אפליקציית Hunza News לאנדרואיד ישירות מהאתר, אך לאפליקציה יש יכולות ריגול זדוני. קראנו לתוכנת הריגול הלא ידועה הזו Kamran בגלל שם החבילה שלה com.kamran.hunzanews. קמראן הוא שם פרטי נפוץ בפקיסטן ובאזורים אחרים דוברי אורדו; בפרסית, המדוברת על ידי מיעוטים מסוימים ב-Gilgit-Baltistan, זה אומר בר מזל או בר מזל.

לאתר Hunza News יש גרסאות באנגלית ואורדו; הגרסה הניידת האנגלית אינה מספקת שום אפליקציה להורדה. עם זאת, גרסת אורדו בנייד מציעה להוריד את תוכנת הריגול של אנדרואיד. ראוי להזכיר שגם גרסאות שולחן העבודה באנגלית וגם אורדו מציעות את תוכנת הריגול של אנדרואיד; למרות שזה לא תואם למערכות הפעלה שולחניות. פנינו לאתר בנוגע לתוכנה זדונית של אנדרואיד. עם זאת, לפני פרסום הפוסט בבלוג שלנו, לא קיבלנו כל תגובה.

נקודות מפתח בדו"ח:

  • תוכנת ריגול אנדרואיד, שקראנו לה Kamran, הופצה באמצעות התקפה אפשרית של חור השקיה באתר Hunza News.
  • התוכנה הזדונית מכוונת רק למשתמשים דוברי אורדו ב-Gilgit-Baltistan, אזור מנוהל על ידי פקיסטן.
  • תוכנת הריגול של Kamran מציגה את התוכן של אתר האינטרנט Hunza News ומכילה קוד זדוני מותאם אישית.
  • המחקר שלנו מראה שלפחות 20 מכשירים ניידים נפגעו.

עם ההשקה, האפליקציה הזדונית מבקשת מהמשתמש להעניק לו הרשאות גישה לנתונים שונים. אם היא מתקבלת, היא אוספת נתונים על אנשי קשר, אירועי לוח שנה, יומני שיחות, פרטי מיקום, קבצי מכשירים, הודעות SMS, תמונות וכו'. מכיוון שהאפליקציה הזדונית הזו מעולם לא הוצעה דרך חנות Google Play והיא מורידה ממקור לא מזוהה. בתור Unknown by Google, כדי להתקין אפליקציה זו, המשתמש מתבקש לאפשר את האפשרות להתקין אפליקציות ממקורות לא ידועים.

האפליקציה הזדונית הופיעה באתר מתישהו בין ה-7 בינואר 2023 ל-21 במרץ 2023; אישור המפתח של האפליקציה הזדונית הונפק ב-10 בינואר 2023. במהלך הזמן הזה, מחאה הוחזקו בגילגית-בלטיסטן מסיבות שונות הכוללות זכויות בקרקע, חששות מיסוי, הפסקות חשמל ממושכות וירידה בהפרשות חיטה מסובסדות. האזור, המוצג במפה באיור 1, נמצא תחת הממשל האדמיניסטרטיבי של פקיסטן, המורכב מהחלק הצפוני של אזור קשמיר הגדול יותר, שהיה נושא למחלוקת בין הודו לפקיסטן מאז 1947 ובין הודו לסין מאז 1959.

איור 1 אזור גילגיט-בלטיסטן
איור 1. אזור גילגיט-בלטיסטן

סקירה כללית

הונזה ניוז, כנראה על שם מחוז הונזה או עמק הונזה, הוא עיתון מקוון המעביר חדשות הקשורות ל- גילגיט-בלטיסטן אזור.

האזור, עם אוכלוסיה של כ-1.5 מיליון תושבים, מפורסם בנוכחותם של כמה מההרים הגבוהים בעולם, המארח חמישה מ"שמונה-אלפים" המוערכים (הרים שפסגיהם בגובה של יותר מ-8,000 מטר מעל פני הים), במיוחד. K2, ולכן מבקרים בו לעתים קרובות תיירים בינלאומיים, מטיילים ומטפסי הרים. בגלל ההפגנות באביב 2023, והמחאות נוספות שהתרחשו בספטמבר 2023, US ו קנדה פרסמו הודעות נסיעה לאזור זה, ו גרמניה הציע לתיירים להישאר מעודכנים לגבי המצב הנוכחי.

גילגית-בלטיסטאן היא גם צומת דרכים חשובה בגלל הכביש המהיר Karakoram, הכביש היחיד המחבר בין פקיסטן לסין, מכיוון שהוא מאפשר לסין להקל על סחר ומעבר אנרגיה על ידי גישה לים הערבי. החלק הפקיסטני של הכביש המהיר נמצא כעת בשחזור ושדרוג; המאמצים ממומנים על ידי פקיסטן וסין כאחד. הכביש המהיר חסום לעתים קרובות על ידי נזקים שנגרמו על ידי מזג אוויר או מחאות.

אתר Hunza News מספק תוכן בשתי שפות: אנגלית ו אורדו. לצד האנגלית, אורדו מחזיקה במעמד של שפה לאומית בפקיסטן, ובגילגית-בלטיסטן היא משמשת כשפת השפה הנפוצה או הגשרת לתקשורת בין-אתנית. התחום הרשמי של Hunza News הוא hunzanews.net, רשום במאי 22nd, 2017, ומאז הוא מפרסם באופן עקבי מאמרים מקוונים, כפי שמעידים נתוני ארכיון האינטרנט עבור hunzanews.net.

לפני 2022, עיתון מקוון זה השתמש גם בדומיין אחר, hunzanews.com, כפי שמצוין במידע שקיפות הדף באתר פייסבוק לדף (ראה איור 2) ורישומי ארכיון האינטרנט של hunzanews.com, נתוני ארכיון האינטרנט מראים כי hunzanews.com מסר חדשות מאז 2013; לכן, במשך כחמש שנים, עיתון מקוון זה פרסם מאמרים באמצעות שני אתרי אינטרנט: hunzanews.net ו hunzanews.com. זה גם אומר שהעיתון המקוון הזה פעיל וצובר קהל קוראים מקוון כבר למעלה מ-10 שנים.

איור 2 תאריך יצירת דף הפייסבוק של HunzaNews
איור 2. תאריך יצירת דף הפייסבוק של HunzaNews המתייחס לדומיין הקודם

ב2015, hunzanews.com התחילו לספק אפליקציה לגיטימית לאנדרואיד, כפי שמוצג באיור 3, שהיה זמין בחנות Google Play. בהתבסס על נתונים זמינים אנו מאמינים ששתי גרסאות של אפליקציה זו שוחררו, כששתיהן לא מכילות פונקציונליות זדונית כלשהי. מטרת האפליקציות הללו הייתה להציג את תוכן האתר לקוראים בצורה ידידותית למשתמש.

איור 3 ארכיון אינטרנט hunzanews com
איור 3. ארכיון אינטרנט של hunzanews.com המציג את האפשרות להוריד את אפליקציית האנדרואיד הרשמית שלו

במחצית השנייה של 2022, האתר החדש hunzanews.net עברו עדכונים ויזואליים, כולל הסרת האפשרות להוריד את אפליקציית האנדרואיד מגוגל פליי. בנוסף, האפליקציה הרשמית הוסרה מחנות Google Play, ככל הנראה בגלל חוסר התאימות שלה למערכות ההפעלה העדכניות ביותר של אנדרואיד.

לכמה שבועות, החל לפחות דצמבר 2022 עד ינואר 7th, 2023, האתר לא סיפק שום אפשרות להוריד את האפליקציה הרשמית לנייד, כפי שמוצג באיור 4.

איור 4 Hunza News עיצוב מחדש של אפליקציית הורדה ללא אפשרות
איור 4. Hunza News לאחר עיצוב מחדש ללא אפשרות להוריד אפליקציה

בהתבסס על רישומי ארכיון האינטרנט, ברור שלפחות מאז במרץ 21st, 2023, האתר הציג מחדש את האפשרות למשתמשים להוריד אפליקציית אנדרואיד, הנגישה באמצעות כפתור הורד אפליקציה, כמתואר באיור 5. אין נתונים לתקופה שבין ה-7 בינוארth ו- 21 במרץst, 2023, מה שיכול לעזור לנו לאתר את התאריך המדויק של הופעתה מחדש של האפליקציה באתר.

איור 5 אפליקציית הורדת אתר Hunza News שוחזרה
איור 5. אתר Hunza News עם אפשרות להוריד אפליקציה משוחזרת

כשניתחנו מספר גרסאות של האתר, נתקלנו במשהו מעניין: צפייה באתר בדפדפן שולחני בכל אחת מהשפות של Hunza News – אנגלית (hunzanews.net) או אורדו (urdu.hunzanews.net) – מציג בצורה בולטת את כפתור הורד את האפליקציה בחלק העליון של דף האינטרנט. האפליקציה שהורדת היא אפליקציית אנדרואיד מקורית שלא ניתן להתקין על מחשב שולחני ולסכן אותה.

עם זאת, במכשיר נייד, כפתור זה גלוי באופן בלעדי בגרסה של שפת אורדו (urdu.hunzanews.net), כפי שמוצג באיור 6.

עם רמה גבוהה של ביטחון, אנו יכולים לאשר שהאפליקציה הזדונית מכוונת במיוחד למשתמשים דוברי אורדו שניגשים לאתר דרך מכשיר אנדרואיד. האפליקציה הזדונית זמינה באתר מאז הרבעון הראשון של 2023.

איור 6 גרסה אנגלית (משמאל) ואורדו (ימין) Hunza News
איור 6. גרסה אנגלית (שמאל) ואורדו (ימין) של Hunza News מוצגת במכשיר נייד

לחיצה על כפתור הורד אפליקציה מפעילה הורדה מ https://hunzanews[.]net/wp-content/uploads/apk/app-release.apk. מכיוון שהאפליקציה הזדונית הזו מעולם לא הוצעה דרך חנות Google Play והיא מורידה מאתר צד שלישי כדי להתקין את האפליקציה הזו, המשתמש מתבקש להפעיל את האפשרות שאינה ברירת המחדל של אנדרואיד להתקנת אפליקציות ממקורות לא ידועים.

האפליקציה הזדונית, הנקראת Hunza News, היא תוכנת ריגול לא ידועה בעבר שקראנו לה Kamran וזו מנותחת בסעיף Kamran למטה.

ESET Research פנה אל Hunza News בנוגע לקמראן. לפני פרסום הבלוג שלנו לא קיבלנו שום צורה של משוב או תגובה מצד האתר.

קורבנות

בהתבסס על הממצאים מהמחקר שלנו, הצלחנו לזהות לפחות 22 סמארטפונים שנפגעו, כאשר חמישה מהם ממוקמים בפקיסטן.

קמרן

Kamran היא תוכנת ריגול אנדרואיד לא מתועדת בעבר המאופיינת בהרכב הקוד הייחודי שלה, נבדל מתוכנות ריגול מוכרות אחרות. ESET מזהה תוכנת ריגול זו כ אנדרואיד/Spy.Kamran.

זיהינו רק גרסה אחת של אפליקציה זדונית המכילה את Kamran, שהיא זו הזמינה להורדה מאתר Hunza News. כפי שהוסבר בסעיף סקירה כללית, אין באפשרותנו לציין את התאריך המדויק שבו הוצבה האפליקציה באתר Hunza News. עם זאת, אישור המפתח המשויך (טביעת אצבע SHA-1: DCC1A353A178ABF4F441A5587E15644A388C9D9C), המשמש לחתימה על אפליקציית אנדרואיד, הונפק ב-10 בינוארth, 2023. תאריך זה מספק קומה לזמן המוקדם ביותר שבו נבנתה האפליקציה הזדונית.

לעומת זאת, אפליקציות לגיטימיות מ-Hunza News שהיו זמינות בעבר ב-Google Play נחתמו עם אישור מפתח אחר (טביעת אצבע SHA-1: BC2B7C4DF3B895BE4C7378D056792664FCEEC591). האפליקציות הנקיות והלגיטימיות הללו אינן מציגות דמיון בקוד עם האפליקציה הזדונית שזוהתה.

עם ההשקה, Kamran מבקש מהמשתמש להעניק הרשאות גישה לנתונים שונים המאוחסנים במכשיר של הקורבן, כגון אנשי קשר, אירועי לוח שנה, יומני שיחות, פרטי מיקום, קבצי מכשיר, הודעות SMS ותמונות. הוא גם מציג חלון ממשק משתמש, המציע אפשרויות לבקר בחשבונות המדיה החברתית של Hunza News, ולבחור בשפה האנגלית או אורדו לטעינת התוכן של hunzanews.net, כפי שמוצג באיור 7.

איור 7 ממשק ראשוני של אפליקציה זדונית
איור 7. הממשק הראשוני של אפליקציה זדונית

אם ניתנות ההרשאות האמורות לעיל, תוכנת הריגול של Kamran אוספת אוטומטית נתוני משתמש רגישים, כולל:

  • הודעות SMS
  • רשימת אנשי הקשר
  • יומן שיחות
  • אירועי לוח שנה
  • מיקום המכשיר
  • רשימה של אפליקציות מותקנות
  • הודעות SMS שהתקבלו
  • מידע על המכשיר
  • תמונות

מעניין, קמרן מזהה קבצי תמונה נגישים במכשיר (כמתואר באיור 8), משיג את נתיבי הקבצים עבור תמונות אלו, ומאחסן את הנתונים הללו ב- images_db מסד נתונים, כפי שמוצג באיור 9. מסד נתונים זה מאוחסן באחסון הפנימי של התוכנה הזדונית.

איור 8 קוד השגת נתיבי קובץ תמונה
איור 8. קוד שאחראי להשגת נתיבי קובץ תמונה
איור 9 תמונות רשימה מסתננים
איור 9. רשימת תמונות להחלפה

כל סוגי הנתונים, כולל קובצי התמונה, מועלים לשרת פקודה ובקרה (C&C) מקודדים. מעניין לציין שהמפעילים בחרו להשתמש ב-Firebase, פלטפורמת אינטרנט, כשרת C&C שלהם: https://[REDACTED].firebaseio[.]com. שרת C&C דווח לגוגל, שכן הפלטפורמה מסופקת על ידי חברת טכנולוגיה זו.

חשוב לציין כי התוכנה הזדונית חסרה יכולות שליטה מרחוק. כתוצאה מכך, נתוני משתמש עוברים דרך HTTPS לשרת Firebase C&C רק כאשר המשתמש פותח את האפליקציה; סינון נתונים לא יכול לפעול ברקע כשהאפליקציה סגורה. לקמרן אין מנגנון העוקב אחר אילו נתונים הוצאו, ולכן הוא שולח שוב ושוב את אותם נתונים, בתוספת כל נתונים חדשים העומדים בקריטריוני החיפוש שלו, ל-C&C שלו.

סיכום

קמרן היא תוכנת ריגול אנדרואיד לא ידועה בעבר, המכוונת לאנשים דוברי אורדו באזור גילגיט-בלטיסטן. המחקר שלנו מצביע על כך שהאפליקציה הזדונית המכילה את Kamran הופצה לפחות מאז 2023 באמצעות מה שכנראה הוא התקפת בור מים על עיתון מקומי מקוון בשם Hunza News.

Kamran מדגים בסיס קוד ייחודי הנבדל מתוכנות ריגול אחרות של אנדרואיד, ומונע את ייחוסן לכל קבוצת איום מתמשך ידועה (APT).

מחקר זה גם מראה שחשוב לחזור על המשמעות של הורדת אפליקציות אך ורק ממקורות מהימנים ורשמיים.

לכל שאלה לגבי המחקר שלנו שפורסם ב-WeLiveSecurity, אנא צור איתנו קשר בכתובת threatintel@eset.com.
ESET Research מציע דוחות מודיעין פרטיים של APT והזנות נתונים. לכל שאלה לגבי שירות זה, בקר באתר ESET Threat Intelligence עמוד.

IoCs

קבצים

SHA-1

שם חבילה

איתור

תיאור

0F0259F288141EDBE4AB2B8032911C69E03817D2

com.kamran.hunzanews

Android/Spy.Kamran.A

תוכנת ריגול של Kamran.

רשת

IP

תְחוּם

ספק אירוח

נראה לראשונה

פרטים

34.120.160[.]131

[REDACTED].firebaseio[.]com

Google LLC

2023-07-26

שרת C&C.

191.101.13[.]235

hunzanews[.]net

Domain.com, LLC

2017-05-22

אתר הפצה.

טכניקות MITER ATT & CK

שולחן זה נבנה באמצעות גרסה 13 של מסגרת MITER ATT & CK.

טקטיקה

ID

שם

תיאור

גילוי פערים

T1418

גילוי תוכנה

תוכנת ריגול Kamran יכולה להשיג רשימה של יישומים מותקנים.

T1420

גילוי קבצים וספריות

תוכנת ריגול Kamran יכולה לרשום קבצי תמונה באחסון חיצוני.

T1426

גילוי מידע מערכת

תוכנת ריגול Kamran יכולה לחלץ מידע על המכשיר, כולל דגם המכשיר, גרסת מערכת ההפעלה ומידע מערכת נפוץ.

אוספים

T1533

נתונים מהמערכת המקומית

תוכנת ריגול של Kamran יכולה לסנן קבצי תמונה ממכשיר.

T1430

מעקב אחר מיקום

תוכנת ריגול Kamran עוקבת אחר מיקום המכשיר.

T1636.001

נתוני משתמש מוגנים: ערכי לוח שנה

תוכנת ריגול Kamran יכולה לחלץ ערכי לוח שנה.

T1636.002

נתוני משתמש מוגנים: יומני שיחות

תוכנת ריגול של Kamran יכולה לחלץ יומני שיחות.

T1636.003

נתוני משתמש מוגנים: רשימת אנשי קשר

תוכנת ריגול Kamran יכולה לחלץ את רשימת אנשי הקשר של המכשיר.

T1636.004

נתוני משתמש מוגנים: הודעות SMS

תוכנת ריגול Kamran יכולה לחלץ הודעות SMS וליירט SMS שהתקבל.

פיקוד ובקרה

T1437.001

פרוטוקול שכבת האפליקציות: פרוטוקולי אינטרנט

תוכנת הריגול של Kamran משתמשת ב-HTTPS כדי לתקשר עם שרת C&C שלה.

T1481.003

שירות אינטרנט: תקשורת חד כיוונית

Kamran משתמש בשרת Firebase של גוגל כשרת C&C שלה.

exfiltration

T1646

סינון מעל ערוץ C2

תוכנת הריגול של Kamran מסננת נתונים באמצעות HTTPS.

בול זמן:

עוד מ אנחנו חיים אבטחה