Azarado Kamran: malware Android espionando residentes de Gilgit-Baltistan que falam urdu

Os investigadores da ESET identificaram o que parece ser um ataque watering hole a um site de notícias regional que transmite notícias sobre Gilgit-Baltistan, uma região disputada administrada pelo Paquistão. Quando aberta em um dispositivo móvel, a versão em urdu do site Hunza News oferece aos leitores a possibilidade de baixar o aplicativo Hunza News para Android diretamente do site, mas o aplicativo possui recursos de espionagem maliciosa. Chamamos esse spyware até então desconhecido de Kamran por causa do nome do pacote com.kamran.hunzanews. Kamran é um nome comum no Paquistão e em outras regiões de língua urdu; em farsi, falado por algumas minorias em Gilgit-Baltistão, significa afortunado ou sortudo.

O site Hunza News tem versões em inglês e urdu; a versão móvel em inglês não oferece nenhum aplicativo para download. No entanto, a versão Urdu no celular oferece o download de spyware para Android. Vale ressaltar que as versões para desktop em inglês e urdu também oferecem spyware para Android; embora não seja compatível com sistemas operacionais de desktop. Entramos em contato com o site sobre o malware do Android. No entanto, antes da publicação da nossa postagem no blog, não recebemos nenhuma resposta.

Pontos principais do relatório:

• O spyware Android, que chamamos de Kamran, foi distribuído por meio de um possível ataque watering hole no site Hunza News.
• O malware tem como alvo apenas usuários que falam urdu em Gilgit-Baltistan, uma região administrado pelo Paquistão.
• O spyware Kamran exibe o conteúdo do site Hunza News e contém código malicioso personalizado.
• Nossa pesquisa mostra que pelo menos 20 dispositivos móveis foram comprometidos.

Ao ser iniciado, o aplicativo malicioso solicita que o usuário conceda permissões para acessar vários dados. Se aceito, ele coleta dados sobre contatos, eventos de calendário, registros de chamadas, informações de localização, arquivos de dispositivos, mensagens SMS, imagens, etc. Como esse aplicativo malicioso nunca foi oferecido pela Google Play Store e é baixado de uma fonte não identificada referida como Desconhecido pelo Google, para instalar este aplicativo, o usuário é solicitado a ativar a opção de instalação de aplicativos de fontes desconhecidas.

O aplicativo malicioso apareceu no site entre 7 de janeiro de 2023 e 21 de março de 2023; o certificado de desenvolvedor do aplicativo malicioso foi emitido em 10 de janeiro de 2023. Durante esse período, protestos estavam detidos em Gilgit-Baltistão por várias razões que incluíam direitos à terra, preocupações fiscais, cortes de energia prolongados e um declínio nas provisões de trigo subsidiadas. A região, mostrada no mapa da Figura 1, está sob a governação administrativa do Paquistão, consistindo na porção norte da região maior da Caxemira, que tem sido objecto de uma disputa entre a Índia e o Paquistão desde 1947 e entre a Índia e a China desde 1959.

Visão geral

Hunza News, provavelmente em homenagem ao Distrito de Hunza ou Vale de Hunza, é um jornal online que traz notícias relacionadas ao Gilgit-Baltistan região.

A região, com uma população de cerca de 1.5 milhões de habitantes, é famosa pela presença de algumas das montanhas mais altas do mundo, acolhendo cinco das estimadas “oito mil” (montanhas que atingem o pico a mais de 8,000 metros acima do nível do mar), mais notavelmente K2 e, portanto, é frequentemente visitado por turistas internacionais, trekkers e montanhistas. Por causa dos protestos da primavera de 2023, e de outros que aconteceram em setembro de 2023, o US e Localização: Canadá emitiram avisos de viagem para esta região, e Alemanha sugeriu que os turistas deveriam se manter informados sobre a situação atual.

Gilgit-Baltistão é também um importante cruzamento devido à Autoestrada Karakoram, a única estrada motorizada que liga o Paquistão à China, pois permite à China facilitar o comércio e o trânsito de energia através do acesso ao Mar Arábico. A parte paquistanesa da rodovia está atualmente sendo reconstruída e melhorada; os esforços são financiados pelo Paquistão e pela China. A rodovia é frequentemente bloqueada por danos causados ​​por condições climáticas ou protestos.

O site Hunza News oferece conteúdo em dois idiomas: inglês e urdu. Juntamente com o inglês, o urdu detém o estatuto de língua nacional no Paquistão e, em Gilgit-Baltistão, serve como língua comum ou de ponte para comunicações interétnicas. O domínio oficial do Hunza News é hunzanews.net, registrado em maio 22^nd, 2017, e tem publicado consistentemente artigos online desde então, conforme evidenciado pelos dados do Internet Archive para hunzanews.net.

Antes de 2022, este jornal online também usava outro domínio, hunzanews. com, conforme indicado nas informações de transparência da página no site Página do Facebook (veja a Figura 2) e os registros do Internet Archive de hunzanews.com, os dados do Internet Archive também mostram que hunzanews. com vinha entregando novidades desde 2013; portanto, durante cerca de cinco anos, este jornal online publicou artigos através de dois sites: hunzanews.net e hunzanews. com. Isso também significa que este jornal online está ativo e conquistando leitores online há mais de 10 anos.

Em 2015, hunzanews. com começou a fornecer um aplicativo Android legítimo, conforme mostrado na Figura 3, que estava disponível na loja Google Play. Com base nos dados disponíveis, acreditamos que duas versões deste aplicativo foram lançadas, nenhuma delas contendo qualquer funcionalidade maliciosa. O objetivo desses aplicativos era apresentar o conteúdo do site aos leitores de uma forma amigável.

No segundo semestre de 2022, o novo site hunzanews.net passou por atualizações visuais, incluindo a remoção da opção de baixar o aplicativo Android do Google Play. Além disso, o aplicativo oficial foi retirado da Google Play Store, provavelmente devido à sua incompatibilidade com os sistemas operacionais Android mais recentes.

Durante algumas semanas, pelo menos Dezembro 2022 até Janeiro 7^th, 2023, o site não oferecia opção de download do aplicativo móvel oficial, conforme mostrado na Figura 4.

Com base nos registros do Internet Archive, é evidente que pelo menos desde Março de 21^st, 2023, o site reintroduziu a opção para os usuários baixarem um aplicativo Android, acessível através do botão DOWNLOAD APP, conforme ilustrado na Figura 5. Não há dados para o período entre 7 de janeiro^th e 21 Março^st, 2023, o que pode nos ajudar a identificar a data exata do reaparecimento do aplicativo no site.

Ao analisar diversas versões do site, nos deparamos com algo interessante: visualizar o site em um navegador de desktop em qualquer idioma da versão do Hunza News – Inglês (hunzanews.net) ou Urdu (urdu.hunzanews.net) – exibe com destaque o botão DOWNLOAD APP na parte superior da página da web. O aplicativo baixado é um aplicativo Android nativo que não pode ser instalado em uma máquina desktop e o compromete.

No entanto, em um dispositivo móvel, este botão é visível exclusivamente na variante do idioma Urdu (urdu.hunzanews.net), conforme mostrado na Figura 6.

Com alto grau de confiança, podemos afirmar que o aplicativo malicioso é direcionado especificamente a usuários que falam urdu e que acessam o site por meio de um dispositivo Android. O aplicativo malicioso está disponível no site desde o primeiro trimestre de 2023.

Clicar no botão DOWNLOAD APP aciona um download de https://hunzanews[.]net/wp-content/uploads/apk/app-release.apk. Como esse aplicativo malicioso nunca foi oferecido pela Google Play Store e é baixado de um site de terceiros para instalá-lo, o usuário é solicitado a ativar a opção não padrão do Android para instalar aplicativos de fontes desconhecidas.

O aplicativo malicioso, chamado Hunza News, é um spyware até então desconhecido que chamamos de Kamran e que é analisado na seção Kamran abaixo.

A ESET Research entrou em contato com Hunza News sobre Kamran. Antes da publicação de nossa postagem no blog, não recebemos nenhum tipo de feedback ou resposta por parte do site.

Vitimologia

Com base nas descobertas da nossa pesquisa, conseguimos identificar pelo menos 22 smartphones comprometidos, sendo cinco deles localizados no Paquistão.

Kamran

Kamran é um spyware Android anteriormente não documentado, caracterizado por sua composição de código única, distinta de outros spywares conhecidos. A ESET detecta este spyware como Android/Espião.Kamran.

Identificamos apenas uma versão de um aplicativo malicioso contendo Kamran, que está disponível para download no site Hunza News. Conforme explicado na seção Visão geral, não podemos especificar a data exata em que o aplicativo foi colocado no site do Hunza News. No entanto, o certificado de desenvolvedor associado (impressão digital SHA-1: DCC1A353A178ABF4F441A5587E15644A388C9D9C), usado para assinar o aplicativo Android, foi lançado em 10 de janeiro^th, 2023. Esta data fornece um valor mínimo para a primeira vez em que o aplicativo malicioso foi criado.

Por outro lado, os aplicativos legítimos do Hunza News que estavam anteriormente disponíveis no Google Play foram assinados com um certificado de desenvolvedor diferente (impressão digital SHA-1: BC2B7C4DF3B895BE4C7378D056792664FCEEC591). Esses aplicativos limpos e legítimos não apresentam semelhanças de código com o aplicativo malicioso identificado.

Ao iniciar, Kamran solicita que o usuário conceda permissões para acessar vários dados armazenados no dispositivo da vítima, como contatos, eventos de calendário, registros de chamadas, informações de localização, arquivos do dispositivo, mensagens SMS e imagens. Ele também apresenta uma janela de interface do usuário, oferecendo opções para visitar contas de mídia social do Hunza News e selecionar o idioma inglês ou urdu para carregar o conteúdo do hunzanews.net, conforme mostrado na Figura 7.

Se as permissões mencionadas acima forem concedidas, o spyware Kamran coleta automaticamente dados confidenciais do usuário, incluindo:

• Mensagens SMS
• lista de contatos
• registro de chamadas
• eventos do calendário
• localização do dispositivo
• lista de aplicativos instalados
• mensagens SMS recebidas
• informação do dispositivo
• imagens

Curiosamente, Kamran identifica arquivos de imagem acessíveis no dispositivo (conforme ilustrado na Figura 8), obtém os caminhos dos arquivos para essas imagens e armazena esses dados em um arquivo. imagens_db banco de dados, conforme demonstrado na Figura 9. Esse banco de dados é armazenado no armazenamento interno do malware.

Todos os tipos de dados, incluindo os arquivos de imagem, são carregados em um servidor de comando e controle (C&C) codificado. Curiosamente, as operadoras optaram por utilizar o Firebase, uma plataforma web, como servidor C&C: https://[REDACTED].firebaseio[.]com. O servidor C&C foi reportado ao Google, visto que a plataforma é fornecida por esta empresa de tecnologia.

É importante observar que o malware não possui recursos de controle remoto. Como resultado, os dados do usuário são exfiltrados via HTTPS para o servidor Firebase C&C somente quando o usuário abre o aplicativo; a exfiltração de dados não pode ser executada em segundo plano quando o aplicativo é fechado. Kamran não possui nenhum mecanismo para rastrear quais dados foram exfiltrados, por isso envia repetidamente os mesmos dados, além de quaisquer novos dados que atendam aos seus critérios de pesquisa, para seu C&C.

Conclusão

Kamran é um spyware Android até então desconhecido, direcionado a pessoas que falam urdu na região de Gilgit-Baltistão. Nossa pesquisa indica que o aplicativo malicioso contendo Kamran foi distribuído pelo menos desde 2023 por meio do que provavelmente é um ataque watering hole a um jornal online local chamado Hunza News.

Kamran demonstra uma base de código exclusiva, distinta de outros spywares Android, impedindo sua atribuição a qualquer grupo conhecido de ameaças persistentes avançadas (APT).

Esta pesquisa também mostra que é importante reiterar a importância de baixar aplicativos exclusivamente de fontes oficiais e confiáveis.

Para quaisquer dúvidas sobre nossa pesquisa publicada no WeLiveSecurity, entre em contato conosco em ameaçaintel@eset.com.
A ESET Research oferece relatórios privados de inteligência APT e feeds de dados. Para qualquer esclarecimento sobre este serviço, visite o Inteligência de ameaças ESET Disputas de Comerciais.

IoCs

Arquivos

SHA-1	Nome do pacote	Detecção	Descrição
0F0259F288141EDBE4AB2B8032911C69E03817D2	com.kamran.hunzanews	Android/Espião.Kamran.A	Spyware Kamran.

Network

IP	Domínio	Provedor de hospedagem	Visto pela primeira vez	Adicionar ao carrinho
34.120.160[.]131	[REDIGIDO].firebaseio[.]com	Google LLC	2023-07-26	Servidor C&C.
191.101.13[.]235	hunzanews[.]net	Domínio.com, LLC	2017-05-22	Site de distribuição.

Técnicas MITER ATT e CK

Esta tabela foi construída usando versão 13 da estrutura MITRE ATT&CK.

Tática	ID	Nome	Descrição
Discovery	T1418	Descoberta de software	O spyware Kamran pode obter uma lista de aplicativos instalados.
	T1420	Descoberta de arquivos e diretórios	O spyware Kamran pode listar arquivos de imagem em armazenamento externo.
	T1426	Descoberta de informações do sistema	O spyware Kamran pode extrair informações sobre o dispositivo, incluindo modelo do dispositivo, versão do sistema operacional e informações comuns do sistema.
Coleção	T1533	Dados do sistema local	O spyware Kamran pode exfiltrar arquivos de imagem de um dispositivo.
	T1430	Localização Rastreamento	O spyware Kamran rastreia a localização do dispositivo.
	T1636.001	Dados de usuário protegidos: entradas de calendário	O spyware Kamran pode extrair entradas do calendário.
	T1636.002	Dados do usuário protegidos: registros de chamadas	O spyware Kamran pode extrair registros de chamadas.
	T1636.003	Dados do usuário protegidos: lista de contatos	O spyware Kamran pode extrair a lista de contatos do dispositivo.
	T1636.004	Dados do usuário protegidos: mensagens SMS	O spyware Kamran pode extrair mensagens SMS e interceptar SMS recebidos.
Comando e controle	T1437.001	Protocolo de camada de aplicativo: protocolos da Web	O spyware Kamran usa HTTPS para se comunicar com seu servidor C&C.
	T1481.003	Serviço Web: comunicação unidirecional	Kamran usa o servidor Firebase do Google como servidor C&C.
exfiltration	T1646	Exfiltração no canal C2	O spyware Kamran exfiltra dados usando HTTPS.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.welivesecurity.com/en/eset-research/unlucky-kamran-android-malware-spying-urdu-speaking-residents-gilgit-baltistan/