Uheldig Kamran: Android malware spionerer på urdu-talende innbyggere i Gilgit-Baltistan

ESET-forskere har identifisert det som ser ut til å være et vannhullsangrep på et regionalt nyhetsnettsted som leverer nyheter om Gilgit-Baltistan, en omstridt region administrert av Pakistan. Når den åpnes på en mobilenhet, gir urdu-versjonen av Hunza News-nettstedet leserne muligheten til å laste ned Hunza News Android-appen direkte fra nettstedet, men appen har ondsinnede spionasjemuligheter. Vi kalte denne tidligere ukjente spionvaren Kamran på grunn av pakkenavnet com.kamran.hunzanews. Kamran er et vanlig fornavn i Pakistan og andre urdu-talende regioner; på farsi, som snakkes av noen minoriteter i Gilgit-Baltistan, betyr det heldig eller heldig.

Hunza News-nettstedet har engelske og urdu-versjoner; den engelske mobilversjonen gir ingen app for nedlasting. Urdu-versjonen på mobil tilbyr imidlertid å laste ned Android-spyware. Det er verdt å nevne at både engelske og urdu-stasjonære versjoner også tilbyr Android-spyware; selv om den ikke er kompatibel med stasjonære operativsystemer. Vi tok kontakt med nettstedet angående skadelig programvare for Android. Men før publiseringen av blogginnlegget vårt mottok vi ikke noe svar.

Hovedpunkter i rapporten:

• Android-spyware, som vi kalte Kamran, har blitt distribuert via et mulig vannhullsangrep på nettstedet Hunza News.
• Skadevaren retter seg kun mot urdu-talende brukere i Gilgit-Baltistan, en region administrert av Pakistan.
• Kamran-spionprogrammet viser innholdet på Hunza News-nettstedet og inneholder tilpasset ondsinnet kode.
• Vår forskning viser at minst 20 mobile enheter ble kompromittert.

Ved oppstart ber den skadelige appen brukeren om å gi den tillatelse til å få tilgang til ulike data. Hvis den godtas, samler den inn data om kontakter, kalenderhendelser, anropslogger, plasseringsinformasjon, enhetsfiler, SMS-meldinger, bilder osv. Siden denne skadelige appen aldri har blitt tilbudt gjennom Google Play-butikken og er lastet ned fra en uidentifisert kilde som refereres til. som Ukjent av Google, for å installere denne appen, blir brukeren bedt om å aktivere alternativet for å installere apper fra ukjente kilder.

Den ondsinnede appen dukket opp på nettstedet en gang mellom 7. januar 2023 og 21. mars 2023; utviklersertifikatet for den skadelige appen ble utstedt 10. januar 2023. I løpet av den tiden protester ble holdt i Gilgit-Baltistan av forskjellige grunner som omfattet landrettigheter, skatteproblemer, langvarige strømbrudd og en nedgang i subsidierte hveteavsetninger. Regionen, vist på kartet i figur 1, er under Pakistans administrative styring, bestående av den nordlige delen av den større Kashmir-regionen, som har vært gjenstand for en tvist mellom India og Pakistan siden 1947 og mellom India og Kina siden 1959.

Oversikt

Hunza News, sannsynligvis oppkalt etter Hunza-distriktet eller Hunza-dalen, er en nettavis som leverer nyheter relatert til Gilgit-Baltistan region.

Regionen, med en befolkning på rundt 1.5 millioner, er kjent for tilstedeværelsen av noen av de høyeste fjellene globalt, og er vert for fem av de anerkjente "åttetusenere" (fjell som topper seg på mer enn 8,000 meter over havet), spesielt K2, og blir derfor ofte besøkt av internasjonale turister, turgåere og fjellklatrere. På grunn av protestene våren 2023, og flere som skjedde i september 2023, US og Canada har utstedt reiseråd for denne regionen, og Tyskland foreslått at turister bør holde seg informert om den nåværende situasjonen.

Gilgit-Baltistan er også et viktig veiskille på grunn av Karakoram Highway, den eneste motorveien som forbinder Pakistan og Kina, ettersom den lar Kina lette handel og energitransport ved å få tilgang til Arabiahavet. Den pakistanske delen av motorveien blir for tiden rekonstruert og oppgradert; innsatsen er finansiert av både Pakistan og Kina. Motorveien er ofte blokkert av skader forårsaket av vær eller protester.

Hunza News-nettstedet gir innhold på to språk: engelsk og urdu. Ved siden av engelsk har urdu nasjonalspråkstatus i Pakistan, og i Gilgit-Baltistan fungerer det som det vanlige språket eller brospråket for interetnisk kommunikasjon. Det offisielle domenet til Hunza News er hunzanews.net, registrert mai 22^nd, 2017, og har konsekvent publisert artikler på nettet siden den gang, noe som fremgår av data fra Internet Archive for hunzanews.net.

Før 2022 brukte denne nettavisen også et annet domene, hunzanews.com, som angitt i informasjonen om sidens åpenhet på nettstedet Facebook-side (se figur 2) og Internet Archive-postene til hunzanews.com, viser Internet Archive-data også at hunzanews.com hadde levert nyheter siden 2013; Derfor publiserte denne nettavisen i rundt fem år artikler via to nettsteder: hunzanews.net og hunzanews.com. Dette betyr også at denne nettavisen har vært aktiv og fått nettleserskare i over 10 år.

I 2015, hunzanews.com begynte å tilby en legitim Android-applikasjon, som vist i figur 3, som var tilgjengelig i Google Play-butikken. Basert på tilgjengelige data tror vi at to versjoner av denne appen ble utgitt, og ingen av dem inneholdt skadelig funksjonalitet. Hensikten med disse appene var å presentere innholdet på nettsiden til leserne på en brukervennlig måte.

I andre halvdel av 2022, den nye nettsiden hunzanews.net gjennomgikk visuelle oppdateringer, inkludert fjerning av muligheten til å laste ned Android-appen fra Google Play. I tillegg ble den offisielle appen tatt ned fra Google Play-butikken, sannsynligvis på grunn av dens inkompatibilitet med de nyeste Android-operativsystemene.

For noen uker, fra minst desember 2022 til januar 7^th, 2023, ga nettstedet ingen mulighet til å laste ned den offisielle mobilappen, som vist i figur 4.

Basert på Internet Archive poster, er det tydelig at i det minste siden mars 21^st, 2023, gjeninnførte nettstedet muligheten for brukere til å laste ned en Android-app, tilgjengelig via LAST NED APP-knappen, som vist i figur 5. Det er ingen data for perioden mellom 7. januar^th og 21. mars^st, 2023, noe som kan hjelpe oss med å finne den nøyaktige datoen for appens gjenopptreden på nettstedet.

Da vi analyserte flere versjoner av nettstedet, kom vi over noe interessant: å se nettstedet i en stasjonær nettleser på begge språkversjonene av Hunza News – engelsk (hunzanews.net) eller urdu (urdu.hunzanews.net) – viser tydelig LAST NED APP-knappen øverst på nettsiden. Den nedlastede appen er en innebygd Android-applikasjon som ikke kan installeres på en stasjonær maskin og kompromittere den.

Men på en mobilenhet er denne knappen eksklusivt synlig på urduspråkvarianten (urdu.hunzanews.net), som vist i figur 6.

Med en høy grad av selvtillit kan vi bekrefte at den skadelige appen er spesifikt rettet mot urdu-talende brukere som får tilgang til nettstedet via en Android-enhet. Den skadelige appen har vært tilgjengelig på nettstedet siden første kvartal 2023.

Ved å klikke på LAST NED APP-knappen utløses en nedlasting fra https://hunzanews[.]net/wp-content/uploads/apk/app-release.apk. Siden denne ondsinnede appen aldri har blitt tilbudt gjennom Google Play-butikken og er lastet ned fra en tredjepartsside for å installere denne appen, blir brukeren bedt om å aktivere ikke-standard Android-alternativet for å installere apper fra ukjente kilder.

Den ondsinnede appen, kalt Hunza News, er tidligere ukjent spionprogramvare som vi kalte Kamran og som er analysert i Kamran-delen nedenfor.

ESET Research tok kontakt med Hunza News angående Kamran. Før publiseringen av blogginnlegget vårt mottok vi ingen form for tilbakemelding eller respons fra nettsidens side.

viktimologi

Basert på funnene fra vår forskning, var vi i stand til å identifisere minst 22 kompromitterte smarttelefoner, hvorav fem var lokalisert i Pakistan.

Kamran

Kamran er tidligere udokumentert Android-spyware preget av sin unike kodesammensetning, forskjellig fra andre, kjente spionprogrammer. ESET oppdager denne spionvaren som Android/Spy.Kamran.

Vi identifiserte bare én versjon av en ondsinnet app som inneholder Kamran, som er den som er tilgjengelig for nedlasting fra Hunza News-nettstedet. Som forklart i Oversikt-delen, kan vi ikke spesifisere den nøyaktige datoen da appen ble plassert på Hunza News-nettstedet. Det tilknyttede utviklersertifikatet (SHA-1 fingeravtrykk: DCC1A353A178ABF4F441A5587E15644A388C9D9C), brukt til å signere Android-appen, ble utstedt 10. januar^th, 2023. Denne datoen gir et gulv for den tidligste tiden da den skadelige appen ble bygget.

I motsetning til dette ble legitime applikasjoner fra Hunza News som tidligere var tilgjengelige på Google Play signert med et annet utviklersertifikat (SHA-1-fingeravtrykk: BC2B7C4DF3B895BE4C7378D056792664FCEEC591). Disse rene og legitime appene viser ingen kodelikheter med den identifiserte ondsinnede appen.

Ved oppstart ber Kamran brukeren om å gi tillatelser for tilgang til ulike data som er lagret på offerets enhet, for eksempel kontakter, kalenderhendelser, anropslogger, stedsinformasjon, enhetsfiler, SMS-meldinger og bilder. Den presenterer også et brukergrensesnittvindu, som tilbyr muligheter for å besøke Hunza News sosiale mediekontoer, og for å velge enten engelsk eller urdu for å laste innholdet i hunzanews.net, som vist i figur 7.

Hvis de ovennevnte tillatelsene gis, samler Kamran-spyware automatisk inn sensitive brukerdata, inkludert:

• SMS-meldinger
• kontaktliste
• samtale logger
• kalenderhendelser
• enhetens plassering
• liste over installerte apper
• mottatte SMS-meldinger
• enhetsinformasjon
• bilder

Interessant nok identifiserer Kamran tilgjengelige bildefiler på enheten (som vist i figur 8), henter filbanene for disse bildene og lagrer disse dataene i en bilder_db database, som vist i figur 9. Denne databasen er lagret i skadevarens interne lagring.

Alle typer data, inkludert bildefilene, lastes opp til en hardkodet kommando- og kontrollserver (C&C). Interessant nok valgte operatørene å bruke Firebase, en nettplattform, som deres C&C-server: https://[REDACTED].firebaseio[.]com. C&C-serveren ble rapportert til Google, ettersom plattformen leveres av dette teknologiselskapet.

Det er viktig å merke seg at skadelig programvare mangler fjernkontroll. Som et resultat eksfiltreres brukerdata via HTTPS til Firebase C&C-serveren bare når brukeren åpner appen; dataeksfiltrering kan ikke kjøres i bakgrunnen når appen er lukket. Kamran har ingen mekanisme som sporer hvilke data som har blitt eksfiltrert, så den sender gjentatte ganger de samme dataene, pluss alle nye data som oppfyller søkekriteriene, til sin C&C.

konklusjonen

Kamran er tidligere ukjent Android-spyware rettet mot urdu-talende personer i Gilgit-Baltistan-regionen. Vår forskning indikerer at den ondsinnede appen som inneholder Kamran har blitt distribuert siden minst 2023 via det som sannsynligvis er et vannhullsangrep på en lokal nettavis ved navn Hunza News.

Kamran demonstrerer en unik kodebase som er forskjellig fra andre Android-spyware, og forhindrer at den tilskrives en kjent avansert vedvarende trussel-gruppe (APT).

Denne forskningen viser også at det er viktig å gjenta betydningen av å laste ned apper utelukkende fra pålitelige og offisielle kilder.

For eventuelle spørsmål om forskningen vår publisert på WeLiveSecurity, vennligst kontakt oss på threatintel@eset.com.
ESET Research tilbyr private APT-etterretningsrapporter og datafeeder. For eventuelle spørsmål om denne tjenesten, besøk ESET Threat Intelligence side.

IoCs

Filer

SHA-1	Pakkens navn	Gjenkjenning	Beskrivelse
0F0259F288141EDBE4AB2B8032911C69E03817D2	com.kamran.hunzanews	Android/Spy.Kamran.A	Kamran spyware.

Network

IP	Domene	Hosting-leverandør	Først sett	Detaljer
34.120.160[.]131	[REDAKTERT].firebaseio[.]com	Google LLC	2023-07-26	C&C server.
191.101.13[.]235	hunzanews[.]net	Domain.com, LLC	2017-05-22	Nettsted for distribusjon.

MITRE ATT&CK-teknikker

Dette bordet ble bygget vha versjon 13 av MITRE ATT&CK-rammeverket.

taktikk	ID	Navn	Beskrivelse
Discovery	T1418	Oppdagelse av programvare	Kamran spyware kan få en liste over installerte applikasjoner.
	T1420	Fil- og katalogoppdagelse	Kamran spyware kan liste bildefiler på ekstern lagring.
	T1426	Oppdagelse av systeminformasjon	Kamran spyware kan trekke ut informasjon om enheten, inkludert enhetsmodell, OS-versjon og vanlig systeminformasjon.
Samling	T1533	Data fra lokalt system	Kamran spyware kan eksfiltrere bildefiler fra en enhet.
	T1430	Lokalsporing	Kamran spyware sporer enhetens plassering.
	T1636.001	Beskyttede brukerdata: Kalenderoppføringer	Kamran spyware kan trekke ut kalenderoppføringer.
	T1636.002	Beskyttede brukerdata: Anropslogger	Kamran spyware kan trekke ut samtalelogger.
	T1636.003	Beskyttet brukerdata: Kontaktliste	Kamran spyware kan trekke ut enhetens kontaktliste.
	T1636.004	Beskyttet brukerdata: SMS-meldinger	Kamran spyware kan trekke ut SMS-meldinger og avskjære mottatte SMS.
Command and Control	T1437.001	Application Layer Protocol: Webprotokoller	Kamran spyware bruker HTTPS for å kommunisere med sin C&C-server.
	T1481.003	Webtjeneste: Enveiskommunikasjon	Kamran bruker Googles Firebase-server som sin C&C-server.
exfiltration	T1646	Eksfiltrering over C2-kanal	Kamran spyware eksfiltrerer data ved hjelp av HTTPS.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.welivesecurity.com/en/eset-research/unlucky-kamran-android-malware-spying-urdu-speaking-residents-gilgit-baltistan/