불행한 Kamran: Gilgit-Baltistan의 우르두어 사용자를 감시하는 Android 악성 코드

ESET 연구원들은 파키스탄이 통치하는 분쟁 지역인 길기트-발티스탄에 대한 뉴스를 전달하는 지역 뉴스 웹사이트에서 워터링 홀 공격으로 보이는 것을 확인했습니다. Hunza News 웹사이트의 우르두어 버전을 모바일 기기에서 열면 독자는 Hunza News Android 앱을 웹사이트에서 직접 다운로드할 수 있지만 이 앱에는 악의적인 스파이 기능이 있습니다. 우리는 패키지 이름 때문에 이전에 알려지지 않은 이 스파이웨어를 Kamran이라고 명명했습니다. com.kamran.hunzanews. Kamran은 파키스탄과 기타 우르두어권 지역에서 흔히 사용되는 이름입니다. Gilgit-Baltistan의 일부 소수 민족이 사용하는 Farsi에서는 행운 또는 행운을 의미합니다.

Hunza News 웹사이트에는 영어와 우르두어 버전이 있습니다. 영어 모바일 버전은 다운로드할 수 있는 앱을 제공하지 않습니다. 그러나 모바일의 우르두어 버전은 Android 스파이웨어 다운로드를 제공합니다. 영어와 우르두어 데스크톱 버전 모두 Android 스파이웨어도 제공한다는 점은 언급할 가치가 있습니다. 하지만 데스크톱 운영 체제와는 호환되지 않습니다. 안드로이드 악성코드 관련 웹사이트에 연락을 취했습니다. 그러나 블로그 게시물이 게시되기 전에는 아무런 응답도 받지 못했습니다.

보고서의 요점:

• Kamran이라는 Android 스파이웨어는 Hunza News 웹사이트에서 워터링 홀 공격 가능성을 통해 배포되었습니다.
• 이 악성코드는 Gilgit-Baltistan 지역의 우르두어 사용자만을 대상으로 합니다. 파키스탄이 관리하는.
• Kamran 스파이웨어는 Hunza News 웹사이트의 콘텐츠를 표시하며 사용자 지정 악성 코드를 포함합니다.
• 우리의 연구에 따르면 최소 20대의 모바일 장치가 손상되었습니다.

악성 앱은 실행 시 사용자에게 다양한 데이터에 액세스할 수 있는 권한을 부여하라는 메시지를 표시합니다. 승인되면 연락처, 캘린더 이벤트, 통화 기록, 위치 정보, 기기 파일, SMS 메시지, 이미지 등에 대한 데이터를 수집합니다. 이 악성 앱은 Google Play 스토어를 통해 제공된 적이 없으며 다음과 같은 식별되지 않은 소스에서 다운로드됩니다. Google에서 알 수 없음으로 이 앱을 설치하려면 사용자에게 출처를 알 수 없는 앱을 설치할 수 있는 옵션을 활성화하라는 요청을 받습니다.

악성 앱은 7년 2023월 21일부터 2023년 10월 2023일 사이에 웹사이트에 나타났습니다. 해당 악성앱의 개발자 인증서는 XNUMX년 XNUMX월 XNUMX일 발급되었습니다. 시위 토지권, 과세 문제, 장기간의 정전, 보조금 지급 밀 공급 감소 등 다양한 이유로 길기트-발티스탄에서 개최되었습니다. 그림 1의 지도에 표시된 이 지역은 파키스탄의 행정 통치하에 있으며, 1947년 이후 인도와 파키스탄, 1959년 이후 인도와 중국 사이에 분쟁의 대상이 되어온 더 큰 카슈미르 지역의 북부 부분으로 구성되어 있습니다.

살펴보기

Hunza 지역 또는 Hunza Valley의 이름을 딴 Hunza News는 훈자 관련 뉴스를 전달하는 온라인 신문입니다. 길기트 발티 스탄 주 부위.

인구가 약 1.5만 명인 이 지역은 전 세계적으로 가장 높은 산이 있는 것으로 유명하며, 가장 주목받는 "8,000m"(해발 2m가 넘는 산) 중 2023개를 보유하고 있습니다. K2023는 해외 관광객, 트레커, 등산가들이 자주 방문하는 곳입니다. XNUMX년 봄에 발생한 시위와 XNUMX년 XNUMX월에 발생한 추가 시위로 인해 US 및 Canada 이 지역에 대한 여행 주의보를 발령했습니다. 독일 관광객들은 현재 상황에 대해 계속해서 정보를 얻어야 한다고 제안했습니다.

길기트-발티스탄은 파키스탄과 중국을 연결하는 유일한 자동차 도로인 카라코람 고속도로 때문에 중국이 아라비아해에 접근하여 무역과 에너지 운송을 촉진할 수 있기 때문에 중요한 교차로이기도 합니다. 고속도로의 파키스탄 부분은 현재 재건축 및 업그레이드 중입니다. 이 노력은 파키스탄과 중국 모두에서 자금을 지원받습니다. 기상악화나 시위로 인한 피해로 고속도로가 막히는 일이 잦다.

Hunza News 웹사이트는 영어와 영어의 두 가지 언어로 콘텐츠를 제공합니다. 우르두어. 영어와 함께 우르두어는 파키스탄에서 국어 지위를 갖고 있으며 길기트-발티스탄에서는 인종 간 의사소통을 위한 공통 언어 또는 가교 언어로 사용됩니다. Hunza News의 공식 도메인은 다음과 같습니다. hunzanews.net, 등록된 월 22에^nd, 2017, 이후 인터넷 아카이브 데이터에서 알 수 있듯이 지속적으로 온라인 기사를 게시해 왔습니다. hunzanews.net.

2022년 이전에는 이 온라인 신문도 다른 도메인을 사용했습니다. hunzanews.com, 사이트의 페이지 투명성 정보에 표시된 대로 페이스 북 페이지 (그림 2 참조) 및 hunzanews.com의 인터넷 아카이브 기록, 인터넷 아카이브 데이터도 다음을 보여줍니다. hunzanews.com 2013년부터 뉴스를 전해왔습니다. 따라서 약 XNUMX년 동안 이 온라인 신문은 두 개의 웹사이트를 통해 기사를 게재했습니다. hunzanews.net 및 hunzanews.com. 이는 또한 이 온라인 신문이 10년 넘게 활발히 온라인 독자층을 확보해 왔다는 것을 의미합니다.

2015년에 hunzanews.com 그림 3과 같이 합법적인 Android 애플리케이션을 제공하기 시작했으며 Google Play 스토어에서 사용할 수 있습니다. 사용 가능한 데이터에 따르면 이 앱의 두 가지 버전이 출시되었으며 둘 다 악성 기능이 포함되어 있지 않은 것으로 보입니다. 이러한 앱의 목적은 사용자 친화적인 방식으로 독자에게 웹사이트 콘텐츠를 제공하는 것이었습니다.

2022년 하반기 새로운 홈페이지로 hunzanews.net Google Play에서 Android 앱을 다운로드하는 옵션을 제거하는 등 시각적 업데이트를 거쳤습니다. 또한 공식 앱은 최신 Android 운영 체제와의 비호환성으로 인해 Google Play 스토어에서 게시 중단되었습니다.

적어도 몇 주 동안은 2022년 일월 까지 7년 XNUMX월^th, 2023, 웹사이트에서는 그림 4와 같이 공식 모바일 앱을 다운로드할 수 있는 옵션을 제공하지 않았습니다.

인터넷 아카이브 기록에 따르면 적어도 그 이후에는 21월 XNUMX^st, 2023, 웹사이트에서는 그림 5와 같이 앱 다운로드 버튼을 통해 액세스할 수 있는 Android 앱을 사용자가 다운로드할 수 있는 옵션을 다시 도입했습니다. 7월 XNUMX일 사이의 기간에 대한 데이터는 없습니다.^th 및 21 월 XNUMX 일^st, 2023년으로, 웹사이트에 앱이 다시 나타나는 정확한 날짜를 파악하는 데 도움이 될 수 있습니다.

웹사이트의 여러 버전을 분석하면서 흥미로운 점을 발견했습니다. Hunza News – 영어(hunzanews.net) 또는 우르두어(urdu.hunzanews.net) – 웹페이지 상단에 앱 다운로드 버튼이 눈에 띄게 표시됩니다. 다운로드한 앱은 데스크톱 컴퓨터에 설치할 수 없고 손상될 수 없는 기본 Android 애플리케이션입니다.

그러나 모바일 장치에서는 이 버튼이 우르두어 변형(urdu.hunzanews.net), 그림 6과 같습니다.

우리는 높은 확신을 가지고 이 악성 앱이 Android 기기를 통해 웹사이트에 액세스하는 우르두어 사용자를 특별히 표적으로 삼고 있음을 확인할 수 있습니다. 해당 악성 앱은 2023년 XNUMX분기부터 웹사이트에서 이용 가능했습니다.

앱 다운로드 버튼을 클릭하면 다음에서 다운로드가 시작됩니다. https://hunzanews[.]net/wp-content/uploads/apk/app-release.apk. 이 악성 앱은 Google Play 스토어를 통해 제공된 적이 없으며 이 앱을 설치하기 위해 타사 사이트에서 다운로드되므로 사용자는 알 수 없는 소스에서 앱을 설치하려면 기본이 아닌 Android 옵션을 활성화해야 합니다.

Hunza News라는 악성 앱은 이전에 Kamran이라고 명명한 알려지지 않은 스파이웨어이며 아래 Kamran 섹션에서 분석됩니다.

ESET Research는 Kamran과 관련하여 Hunza News에 연락했습니다. 블로그 게시물이 게시되기 전에는 웹사이트 측으로부터 어떤 형태의 피드백이나 응답도 받지 못했습니다.

피해자학

연구 결과를 바탕으로 우리는 최소 22개의 손상된 스마트폰을 식별할 수 있었으며 그 중 XNUMX개는 파키스탄에 있었습니다.

캄란

Kamran은 알려진 다른 스파이웨어와는 다른 고유한 코드 구성이 특징인 이전에 문서화되지 않은 Android 스파이웨어입니다. ESET은 이 스파이웨어를 다음과 같이 탐지합니다. 안드로이드/Spy.Kamran.

우리는 Kamran이 포함된 악성 앱의 버전 하나만 확인했는데, 이 버전은 Hunza News 웹사이트에서 다운로드할 수 있습니다. 개요 섹션에서 설명했듯이, Hunza News 웹사이트에 앱이 배치된 정확한 날짜를 지정할 수 없습니다. 그러나 연결된 개발자 인증서(SHA-1 지문: DCC1A353A178ABF4F441A5587E15644A388C9D9C)는 Android 앱 서명에 사용되었으며 10월 XNUMX일에 발행되었습니다.^th, 2023. 이 날짜는 악성 앱이 구축된 최초의 시간을 제공합니다.

이와 대조적으로 이전에 Google Play에서 사용할 수 있었던 Hunza News의 합법적인 애플리케이션은 다른 개발자 인증서(SHA-1 지문: BC2B7C4DF3B895BE4C7378D056792664FCEEC591). 이러한 깨끗하고 합법적인 앱은 식별된 악성 앱과 코드 유사성을 나타내지 않습니다.

Kamran은 실행 시 사용자에게 연락처, 캘린더 이벤트, 통화 기록, 위치 정보, 장치 파일, SMS 메시지, 이미지 등 피해자의 장치에 저장된 다양한 데이터에 액세스할 수 있는 권한을 부여하라는 메시지를 표시합니다. 또한 Hunza News 소셜 미디어 계정을 방문하고 콘텐츠를 로드하기 위해 영어 또는 우르두어를 선택할 수 있는 옵션을 제공하는 사용자 인터페이스 창을 제공합니다. hunzanews.net, 그림 7과 같습니다.

위에서 언급한 권한이 부여되면 Kamran 스파이웨어는 다음을 포함하여 민감한 사용자 데이터를 자동으로 수집합니다.

• SMS 메시지
• 연락처 목록
• 통화 기록
• 일정 관리 일정
• 장치 위치
• 설치된 앱 목록
• SMS 메시지를 받았습니다
• 기기 정보
• 형상

흥미롭게도 Kamran은 장치에서 액세스 가능한 이미지 파일을 식별하고(그림 8 참조) 이러한 이미지에 대한 파일 경로를 얻은 다음 이 데이터를 이미지_db 이 데이터베이스는 악성코드의 내부 저장소에 저장됩니다.

이미지 파일을 포함한 모든 유형의 데이터는 하드코드된 명령 및 제어(C&C) 서버에 업로드됩니다. 흥미롭게도 운영자는 웹 플랫폼인 Firebase를 C&C 서버로 활용하기로 결정했습니다. https://[REDACTED].firebaseio[.]com. C&C 서버는 해당 기술회사가 플랫폼을 제공하는 만큼 구글에 신고됐다.

악성코드에는 원격 제어 기능이 없다는 점에 유의하는 것이 중요합니다. 결과적으로 사용자가 앱을 열 때만 사용자 데이터가 HTTPS를 통해 Firebase C&C 서버로 유출됩니다. 앱이 닫혀 있으면 백그라운드에서 데이터 추출을 실행할 수 없습니다. Kamran은 어떤 데이터가 유출되었는지 추적하는 메커니즘이 없기 때문에 동일한 데이터와 검색 기준을 충족하는 새로운 데이터를 반복적으로 C&C로 보냅니다.

결론

Kamran은 Gilgit-Baltistan 지역의 우르두어 사용자를 대상으로 하는 이전에 알려지지 않은 Android 스파이웨어입니다. 우리의 연구에 따르면 Kamran이 포함된 악성 앱은 적어도 2023년부터 Hunza News라는 지역 온라인 신문에 대한 워터링 홀 공격을 통해 배포되었습니다.

Kamran은 다른 Android 스파이웨어와는 다른 고유한 코드베이스를 보여주어 알려진 APT(Advanced Persist Threat) 그룹의 속성을 방지합니다.

또한 이 연구는 신뢰할 수 있는 공식 소스에서만 앱을 다운로드하는 것의 중요성을 반복하는 것이 중요하다는 것을 보여줍니다.

WeLiveSecurity에 게시된 연구에 대한 문의 사항은 다음으로 문의하십시오. Threatintel@eset.com.
ESET Research는 비공개 APT 인텔리전스 보고서 및 데이터 피드를 제공합니다. 본 서비스에 대한 문의사항은 ESET 위협 인텔리전스 페이지.

IoC

파일

SHA-1	패키지 이름	Detection System	상품 설명
0F0259F288141EDBE4AB2B8032911C69E03817D2	com.kamran.hunzanews	안드로이드/Spy.Kamran.A	Kamran 스파이웨어.

네트워크

IP	도메인	호스팅 제공 업체	처음 본	세부 정보
34.120.160[.]131	[편집됨].firebaseio[.]com	Google LLC	2023-07-26	씨앤씨 서버.
191.101.13[.]235	헌자뉴스[.]net	도메인닷컴, LLC	2017-05-22	유통사이트.

MITRE ATT&CK 기술

이 테이블은 다음을 사용하여 제작되었습니다. 버전 13 MITRE ATT&CK 프레임워크.

술책	ID	성함	상품 설명
발견	T1418	소프트웨어 검색	Kamran 스파이웨어는 설치된 응용 프로그램 목록을 얻을 수 있습니다.
	T1420	파일 및 디렉토리 검색	Kamran 스파이웨어는 외부 저장소에 이미지 파일을 나열할 수 있습니다.
	T1426	시스템 정보 검색	Kamran 스파이웨어는 장치 모델, OS 버전, 일반 시스템 정보를 포함하여 장치에 대한 정보를 추출할 수 있습니다.
수집	T1533	로컬 시스템의 데이터	Kamran 스파이웨어는 장치에서 이미지 파일을 추출할 수 있습니다.
	T1430	위치 추적	Kamran 스파이웨어는 장치 위치를 추적합니다.
	T1636.001	보호된 사용자 데이터: 달력 항목	Kamran 스파이웨어는 달력 항목을 추출할 수 있습니다.
	T1636.002	보호된 사용자 데이터: 통화 기록	Kamran 스파이웨어는 통화 기록을 추출할 수 있습니다.
	T1636.003	보호된 사용자 데이터: 연락처 목록	Kamran 스파이웨어는 장치의 연락처 목록을 추출할 수 있습니다.
	T1636.004	보호된 사용자 데이터: SMS 메시지	Kamran 스파이웨어는 SMS 메시지를 추출하고 수신된 SMS를 가로챌 수 있습니다.
명령 및 제어	T1437.001	애플리케이션 계층 프로토콜: 웹 프로토콜	Kamran 스파이웨어는 HTTPS를 사용하여 C&C 서버와 통신합니다.
	T1481.003	웹 서비스: 단방향 통신	Kamran은 Google의 Firebase 서버를 C&C 서버로 사용합니다.
여과	T1646	C2 채널을 통한 유출	Kamran 스파이웨어는 HTTPS를 사용하여 데이터를 유출합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.welivesecurity.com/en/eset-research/unlucky-kamran-android-malware-spying-urdu-speaking-residents-gilgit-baltistan/