Raziskovalci družbe ESET so odkrili nekaj, kar se zdi kot napad na regionalno spletno stran z novicami, ki prinaša novice o Gilgit-Baltistanu, sporni regiji, ki jo upravlja Pakistan. Ko se urdujska različica spletnega mesta Hunza News odpre v mobilni napravi, bralcem ponuja možnost prenosa aplikacije Hunza News za Android neposredno s spletnega mesta, vendar ima aplikacija zlonamerne vohunske zmogljivosti. To prej neznano vohunsko programsko opremo smo poimenovali Kamran zaradi imena paketa com.kamran.hunzanews. Kamran je pogosto osebno ime v Pakistanu in drugih urdujsko govorečih regijah; v farsiju, ki ga govorijo nekatere manjšine v Gilgit-Baltistanu, pomeni srečo ali srečo.
Spletno mesto Hunza News ima angleško in urdujsko različico; angleška mobilna različica ne ponuja nobene aplikacije za prenos. Vendar pa urdujska različica na mobilniku ponuja prenos vohunske programske opreme za Android. Omeniti velja, da tako angleška kot urdujska namizna različica ponujata tudi vohunsko programsko opremo za Android; čeprav ni združljiv z namiznimi operacijskimi sistemi. Obrnili smo se na spletno stran v zvezi z zlonamerno programsko opremo Android. Vendar pred objavo našega spletnega dnevnika nismo prejeli nobenega odgovora.
Ključne točke poročila:
- Vohunska programska oprema za Android, ki smo jo poimenovali Kamran, je bila razširjena prek možnega napada na spletno mesto Hunza News.
- Zlonamerna programska oprema cilja samo na urdu govoreče uporabnike v regiji Gilgit-Baltistan upravlja Pakistan.
- Vohunska programska oprema Kamran prikazuje vsebino spletnega mesta Hunza News in vsebuje prilagojeno zlonamerno kodo.
- Naše raziskave kažejo, da je bilo ogroženih vsaj 20 mobilnih naprav.
Zlonamerna aplikacija ob zagonu uporabnika pozove, naj ji podeli dovoljenja za dostop do različnih podatkov. Če je sprejeta, zbira podatke o stikih, koledarskih dogodkih, dnevnikih klicev, informacijah o lokaciji, datotekah naprave, sporočilih SMS, slikah itd. Ker ta zlonamerna aplikacija ni bila nikoli na voljo v trgovini Google Play in je prenesena iz neznanega vira, navedenega na kot Neznano s strani Googla, mora uporabnik za namestitev te aplikacije omogočiti možnost namestitve aplikacij iz neznanih virov.
Zlonamerna aplikacija se je na spletnem mestu pojavila nekje med 7. januarjem 2023 in 21. marcem 2023; potrdilo razvijalca zlonamerne aplikacije je bilo izdano 10. januarja 2023. V tem času je protesti so bili zaprti v Gilgit-Baltistanu zaradi različnih razlogov, ki so vključevali zemljiške pravice, davčne težave, dolgotrajne izpade električne energije in upad subvencioniranih zalog pšenice. Regija, prikazana na zemljevidu na sliki 1, je pod upravno upravo Pakistana, sestavljena iz severnega dela večje regije Kašmir, ki je predmet spora med Indijo in Pakistanom od leta 1947 ter med Indijo in Kitajsko od leta 1959.
Pregled
Hunza News, verjetno poimenovan po okrožju Hunza ali dolini Hunza, je spletni časopis, ki objavlja novice o Gilgit-Baltistan regiji.
Regija s približno 1.5 milijona prebivalcev je znana po nekaterih najvišjih gorah na svetu, ki gostijo pet cenjenih »osemtisočakov« (gore z vrhom na več kot 8,000 metrih nadmorske višine), predvsem K2, zato jo pogosto obiskujejo mednarodni turisti, pohodniki in planinci. Zaradi protestov spomladi 2023 in dodatnih, ki so se zgodili septembra 2023, je US in Kanada so izdali potovalne nasvete za to regijo in Nemčija predlagal, naj bodo turisti obveščeni o trenutni situaciji.
Gilgit-Baltistan je tudi pomembno križišče zaradi avtoceste Karakoram, edine avtomobilske ceste, ki povezuje Pakistan in Kitajsko, saj Kitajski omogoča lažjo trgovino in energetski tranzit z dostopom do Arabskega morja. Pakistanski del avtoceste trenutno rekonstruirajo in nadgrajujejo; prizadevanja financirata Pakistan in Kitajska. Avtocesta je pogosto blokirana zaradi vremenskih razmer ali protestov.
Spletno mesto Hunza News ponuja vsebino v dveh jezikih: angleščini in Urdu. Poleg angleščine ima urdu status nacionalnega jezika v Pakistanu, v Gilgit-Baltistanu pa služi kot skupni ali premostitveni jezik za medetnično komunikacijo. Uradna domena Hunza News je hunzanews.net, registriranih maja 22nd, 2017 in od takrat dosledno objavlja spletne članke, kar dokazujejo podatki Internet Archive za hunzanews.net.
Pred letom 2022 je ta spletni časopis uporabljal tudi drugo domeno, hunzanews.com, kot je navedeno v informacijah o preglednosti strani na spletnem mestu Facebook stran (glej sliko 2) in zapisov internetnega arhiva hunzanews.com, podatki internetnega arhiva prav tako kažejo, da hunzanews.com od leta 2013 posreduje novice; zato je ta spletni časopis približno pet let objavljal članke prek dveh spletnih strani: hunzanews.net in hunzanews.com. To tudi pomeni, da je ta spletni časopis aktiven in pridobiva spletno bralstvo že več kot 10 let.
V 2015, hunzanews.com začel zagotavljati zakonito aplikacijo za Android, kot je prikazano na sliki 3, ki je bila na voljo v trgovini Google Play. Na podlagi razpoložljivih podatkov menimo, da sta bili izdani dve različici te aplikacije, pri čemer nobena ne vsebuje zlonamerne funkcije. Namen teh aplikacij je bil predstaviti vsebino spletne strani bralcem na uporabniku prijazen način.
V drugi polovici 2022 nova spletna stran hunzanews.net je bil podvržen vizualnim posodobitvam, vključno z odstranitvijo možnosti prenosa aplikacije za Android iz trgovine Google Play. Poleg tega je bila uradna aplikacija odstranjena iz trgovine Google Play, verjetno zaradi nezdružljivosti z najnovejšimi operacijskimi sistemi Android.
Za nekaj tednov, vsaj od december 2022 dokler januar 7th, 2023, spletno mesto ni nudilo možnosti za prenos uradne mobilne aplikacije, kot je prikazano na sliki 4.
Na podlagi zapisov Internet Archive je razvidno, da vsaj od marec 21st, 2023, je spletno mesto ponovno uvedlo možnost, da uporabniki prenesejo aplikacijo za Android, ki je dostopna prek gumba PRENOS APLIKACIJE, kot je prikazano na sliki 5. Za obdobje med 7. januarjem ni podatkov.th in 21. marcast, 2023, kar bi nam lahko pomagalo določiti točen datum ponovnega pojavljanja aplikacije na spletnem mestu.
Pri analizi več različic spletnega mesta smo naleteli na nekaj zanimivega: ogled spletnega mesta v namiznem brskalniku v kateri koli jezikovni različici Hunza News – angleški (hunzanews.net) ali urdu (urdu.hunzanews.net) – vidno prikazuje gumb PRENOS APLIKACIJE na vrhu spletne strani. Prenesena aplikacija je izvorna aplikacija za Android, ki je ni mogoče namestiti na namizni računalnik in jo ogroziti.
Vendar pa je v mobilni napravi ta gumb viden izključno v jezikovni različici urdu (urdu.hunzanews.net), kot je prikazano na sliki 6.
Z visoko stopnjo zaupanja lahko potrdimo, da je zlonamerna aplikacija posebej usmerjena na urdu govoreče uporabnike, ki dostopajo do spletnega mesta prek naprave Android. Zlonamerna aplikacija je na spletnem mestu na voljo od prvega četrtletja 2023.
S klikom na gumb PRENOS APLIKACIJE se sproži prenos iz https://hunzanews[.]net/wp-content/uploads/apk/app-release.apk. Ker ta zlonamerna aplikacija ni bila nikoli ponujena prek trgovine Google Play in se za namestitev te aplikacije prenese s spletnega mesta tretje osebe, mora uporabnik omogočiti možnost, ki ni privzeta za Android, za namestitev aplikacij iz neznanih virov.
Zlonamerna aplikacija, imenovana Hunza News, je prej neznana vohunska programska oprema, ki smo jo poimenovali Kamran in je analizirana v spodnjem razdelku Kamran.
ESET Research se je obrnila na Hunza News glede Kamrana. Pred objavo našega spletnega dnevnika nismo prejeli nobene oblike povratne informacije ali odgovora s strani spletne strani.
Viktimologija
Na podlagi ugotovitev naše raziskave nam je uspelo identificirati vsaj 22 ogroženih pametnih telefonov, od katerih jih je pet v Pakistanu.
Kamran
Kamran je prej nedokumentirana vohunska programska oprema za Android, za katero je značilna edinstvena sestava kode, ki se razlikuje od druge znane vohunske programske opreme. ESET to vohunsko programsko opremo zazna kot Android/Spy.Kamran.
Identificirali smo samo eno različico zlonamerne aplikacije, ki vsebuje Kamran, ki je na voljo za prenos s spletnega mesta Hunza News. Kot je pojasnjeno v razdelku Pregled, ne moremo navesti točnega datuma, ko je bila aplikacija postavljena na spletno mesto Hunza News. Vendar povezano potrdilo razvijalca (prstni odtis SHA-1: DCC1A353A178ABF4F441A5587E15644A388C9D9C), ki se uporablja za podpisovanje aplikacije za Android, je bil izdan 10. januarjath, 2023. Ta datum zagotavlja spodnjo mejo za najzgodnejši čas, ko je bila zlonamerna aplikacija izdelana.
Nasprotno pa so bile legitimne aplikacije iz Hunza News, ki so bile prej na voljo v Googlu Play, podpisane z drugim potrdilom razvijalca (prstni odtis SHA-1: BC2B7C4DF3B895BE4C7378D056792664FCEEC591). Te čiste in legitimne aplikacije nimajo nobene podobnosti kode z identificirano zlonamerno aplikacijo.
Ob zagonu Kamran pozove uporabnika, da podeli dovoljenja za dostop do različnih podatkov, shranjenih v napravi žrtve, kot so stiki, koledarski dogodki, dnevniki klicev, informacije o lokaciji, datoteke naprave, sporočila SMS in slike. Predstavlja tudi okno uporabniškega vmesnika, ki ponuja možnosti za obisk računov družbenih medijev Hunza News in izbiro angleškega ali urdujskega jezika za nalaganje vsebine hunzanews.net, kot je prikazano na sliki 7.
Če so zgoraj omenjena dovoljenja odobrena, vohunska programska oprema Kamran samodejno zbira občutljive uporabniške podatke, vključno z:
- SMS sporočila
- seznam stikov
- dnevniki klicev
- koledarskih dogodkov
- lokacijo naprave
- seznam nameščenih aplikacij
- prejetih SMS sporočil
- informacije o napravi
- slike
Zanimivo je, da Kamran identificira dostopne slikovne datoteke v napravi (kot je prikazano na sliki 8), pridobi poti datotek za te slike in te podatke shrani v images_db bazo podatkov, kot je prikazano na sliki 9. Ta baza podatkov je shranjena v notranjem pomnilniku zlonamerne programske opreme.
Vse vrste podatkov, vključno s slikovnimi datotekami, se naložijo v kodiran strežnik za ukaze in nadzor (C&C). Zanimivo je, da so se operaterji odločili za uporabo spletne platforme Firebase kot svojega C&C strežnika: https://[REDACTED].firebaseio[.]com. Strežnik C&C je bil prijavljen Googlu, saj platformo zagotavlja to tehnološko podjetje.
Pomembno je omeniti, da zlonamerna programska oprema nima zmožnosti daljinskega upravljanja. Posledično se uporabniški podatki prek HTTPS izločijo v strežnik Firebase C&C samo, ko uporabnik odpre aplikacijo; ekstrakcija podatkov ne more delovati v ozadju, ko je aplikacija zaprta. Kamran nima mehanizma, ki bi spremljal, kateri podatki so bili odtujeni, zato vedno znova pošilja iste podatke in vse nove podatke, ki izpolnjujejo njegove kriterije iskanja, svojemu C&C.
zaključek
Kamran je prej neznana vohunska programska oprema za Android, ki cilja na urdu govoreče ljudi v regiji Gilgit-Baltistan. Naše raziskave kažejo, da se zlonamerna aplikacija, ki vsebuje Kamran, distribuira vsaj od leta 2023 prek, kar je verjetno napad na lokalni spletni časopis z imenom Hunza News.
Kamran prikazuje edinstveno kodno zbirko, ki se razlikuje od druge vohunske programske opreme za Android in preprečuje njeno pripisovanje kateri koli znani skupini naprednih trajnih groženj (APT).
Ta raziskava tudi kaže, da je pomembno ponoviti pomen prenosa aplikacij izključno iz zaupanja vrednih in uradnih virov.
Za vsa vprašanja o naši raziskavi, objavljeni na WeLiveSecurity, nas kontaktirajte na grožnjaintel@eset.com.
ESET Research ponuja zasebna obveščevalna poročila APT in vire podatkov. Za vsa vprašanja o tej storitvi obiščite ESET Threat Intelligence stran.
IoC
datoteke
SHA-1 |
Ime paketa |
Odkrivanje |
Opis |
0F0259F288141EDBE4AB2B8032911C69E03817D2 |
com.kamran.hunzanews |
Android/Spy.Kamran.A |
Vohunska programska oprema Kamran. |
mreža
IP |
Domena |
Ponudnik gostovanja |
Prvič viden |
podrobnosti |
34.120.160[.]131 |
[REDIGIRANO].firebaseio[.]com |
Google LLC |
2023-07-26 |
C&C strežnik. |
191.101.13[.]235 |
hunzanews[.]net |
Domain.com, LLC |
2017-05-22 |
Distribucijsko spletno mesto. |
Tehnike MITER ATT&CK
Ta tabela je bila izdelana z uporabo različica 13 okvira MITER ATT&CK.
Taktika |
ID |
Ime |
Opis |
Discovery |
Odkrivanje programske opreme |
Vohunska programska oprema Kamran lahko pridobi seznam nameščenih aplikacij. |
|
Odkrivanje datotek in imenikov |
Vohunska programska oprema Kamran lahko prikaže slikovne datoteke v zunanjem pomnilniku. |
||
Odkrivanje sistemskih informacij |
Vohunska programska oprema Kamran lahko pridobi informacije o napravi, vključno z modelom naprave, različico operacijskega sistema in pogostimi sistemskimi informacijami. |
||
Collection |
Podatki iz lokalnega sistema |
Vohunska programska oprema Kamran lahko odstrani slikovne datoteke iz naprave. |
|
Sledenje lokaciji |
Vohunska programska oprema Kamran sledi lokaciji naprave. |
||
Zaščiteni uporabniški podatki: koledarski vnosi |
Vohunska programska oprema Kamran lahko izvleče koledarske vnose. |
||
Zaščiteni uporabniški podatki: dnevniki klicev |
Vohunska programska oprema Kamran lahko izvleče dnevnike klicev. |
||
Zaščiteni uporabniški podatki: seznam stikov |
Vohunska programska oprema Kamran lahko ekstrahira seznam stikov naprave. |
||
Zaščiteni uporabniški podatki: SMS sporočila |
Vohunska programska oprema Kamran lahko izvleče sporočila SMS in prestreže prejeta sporočila SMS. |
||
Poveljevanje in nadzor |
Protokol aplikacijskega sloja: spletni protokoli |
Vohunska programska oprema Kamran uporablja HTTPS za komunikacijo s svojim C&C strežnikom. |
|
Spletna storitev: enosmerna komunikacija |
Kamran uporablja Googlov strežnik Firebase kot svoj C&C strežnik. |
||
Eksfiltracija |
Eksfiltracija preko kanala C2 |
Vohunska programska oprema Kamran ekstrahira podatke s pomočjo HTTPS. |
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.welivesecurity.com/en/eset-research/unlucky-kamran-android-malware-spying-urdu-speaking-residents-gilgit-baltistan/
- :ima
- : je
- :ne
- 000
- 1
- 10
- 11
- 120
- 20
- 2013
- 2015
- 2017
- 2022
- 2023
- 22
- 7
- 8
- 9
- a
- Sposobna
- O meni
- nad
- sprejeta
- dostop
- dostopen
- Dostop
- računi
- čez
- aktivna
- Dodatne
- Poleg tega
- zdravilo
- upravno
- napredno
- napredna vztrajna grožnja
- Potrdi
- po
- omogoča
- skupaj
- Prav tako
- Čeprav
- an
- analizirati
- analiziranje
- in
- Android
- aplikacija za Android
- Še ena
- kaj
- aplikacija
- pojavil
- se prikaže
- uporaba
- aplikacije
- aplikacije
- APT
- Arabian
- Arhiv
- SE
- okoli
- članki
- AS
- povezan
- At
- napad
- samodejno
- Na voljo
- ozadje
- temeljijo
- BE
- ker
- bilo
- pred
- počutje
- Verjemite
- spodaj
- med
- blokirana
- tako
- MOST
- brskalnik
- zgrajena
- vendar
- Gumb
- by
- Koledar
- klic
- se imenuje
- prišel
- CAN
- ne more
- Zmogljivosti
- povzročilo
- potrdilo
- značilna
- Kitajska
- čiščenje
- zaprto
- Koda
- Koda
- COM
- Skupno
- komunicirajo
- Communications
- podjetje
- združljiv
- sestava
- Kompromis
- Ogroženo
- v zvezi
- Skrbi
- zaupanje
- Povezovanje
- dosledno
- Sestavljeno
- kontakt
- kontakti
- Vsebuje
- vsebina
- Vsebina
- kontrast
- nadzor
- bi
- Oblikovanje
- Merila
- Trenutna
- Trenutno
- po meri
- škoda
- datum
- Baze podatkov
- Datum
- Zavrni
- Stopnja
- dostavo
- daje
- Dokazano
- dokazuje,
- desktop
- Razvojni
- naprava
- naprave
- DID
- drugačen
- neposredno
- prikazovanje
- prikazovalniki
- Spor
- izrazit
- porazdeljena
- okraj
- Ne
- domena
- navzdol
- prenesi
- 2
- med
- prej
- prizadevanja
- bodisi
- omogočajo
- obsežno
- energija
- Angleščina
- vohunjenja
- cenjeni
- itd
- dogodki
- dokazano
- očitno
- ekskluzivno
- eksfiltracija
- izkazujejo
- razložiti
- zunanja
- ekstrakt
- olajšati
- slavni
- povratne informacije
- Nekaj
- Slika
- file
- datoteke
- financirani
- Ugotovitve
- prstnih odtisov
- Firebase
- prva
- pet
- Nadstropje
- za
- obrazec
- prej
- srečo
- pogosto
- iz
- funkcionalnost
- pridobivanje
- dana
- Globalno
- Google Play
- Google Play Store
- Googlova
- upravljanje
- odobri
- odobreno
- skupina
- imel
- Pol
- Zgodi se
- Imajo
- Hero
- pomoč
- visoka
- najvišja
- Highway
- drži
- gostovanje
- Vendar
- HTTPS
- identificirati
- identificira
- identificirati
- if
- slika
- slike
- Pomembno
- in
- Vključno
- india
- naveden
- označuje
- Podatki
- obvestila
- začetna
- Poizvedbe
- namestitev
- Intelligence
- Zanimivo
- vmesnik
- notranji
- Facebook Global
- Internet
- Izdala
- IT
- ITS
- januar
- znano
- Država
- jezik
- jeziki
- večja
- Zadnji
- začetek
- plast
- vsaj
- levo
- legitimno
- Stopnja
- Verjeten
- Seznam
- nalaganje
- lokalna
- nahaja
- kraj aktivnosti
- stroj
- zlonamerna programska oprema
- map
- marec
- Maj ..
- pomeni
- Mehanizem
- mediji
- srečanja
- sporočil
- milijonov
- manjšine
- Mobilni
- mobilna aplikacija
- Mobilna naprava
- mobilne naprave
- Model
- več
- Najbolj
- Ime
- Imenovan
- nacionalni
- materni
- Niti
- net
- nikoli
- Novo
- novice
- št
- predvsem
- Upoštevajte
- pridobi
- pridobitev
- pridobi
- of
- ponudba
- ponujen
- ponujanje
- Ponudbe
- Uradni
- on
- ONE
- tiste
- na spletu
- samo
- odprt
- Odpre
- deluje
- Operacijski sistemi
- operaterji
- Možnost
- možnosti
- or
- OS
- Ostalo
- naši
- ven
- Izpusti
- več
- paket
- Stran
- Pakistan
- Peak
- ljudje
- Obdobje
- Dovoljenja
- postavi
- platforma
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Predvajaj
- Trgovini play
- prosim
- obrnite
- plus
- točke
- prebivalstvo
- možnost
- mogoče
- moč
- Prisotnost
- predstaviti
- darila
- preprečevanje
- prejšnja
- prej
- Predhodna
- zasebna
- verjetno
- Protesti
- protokol
- zagotavljajo
- če
- zagotavlja
- Objava
- objavljeno
- Založništvo
- Namen
- četrtletje
- dosegel
- bralci
- Razlogi
- prejeti
- prejetih
- evidence
- preoblikovanje
- sklicevanje
- besedilu
- o
- okolica
- regionalni
- regije
- povezane
- sprosti
- daljinsko
- odstranitev
- PONOVNO
- poročilo
- Prijavljeno
- Poročila
- zahtevano
- Raziskave
- raziskovalci
- prebivalci
- Odgovor
- odgovorna
- obnovljena
- povzroči
- Pravica
- pravice
- cesta
- Run
- s
- Enako
- MORJE
- Morska gladina
- Iskalnik
- drugi
- Oddelek
- glej
- pošlje
- občutljiva
- september
- strežnik
- služi
- Storitev
- več
- shouldnt
- pokazale
- Razstave
- strani
- podpisati
- podpisano
- Pomen
- podobnosti
- saj
- spletna stran
- Razmere
- pametne telefone
- SMS
- So
- socialna
- družbeni mediji
- nekaj
- Nekaj
- vir
- Viri
- posebej
- govorijo
- pomlad
- vohunjenje
- Vohunska programska oprema
- začel
- Status
- bivanje
- shranjevanje
- trgovina
- shranjeni
- trgovine
- predmet
- taka
- sistem
- sistemi
- miza
- sprejeti
- ciljno
- ciljanje
- Cilji
- Obdavčitev
- Tehnologija
- kot
- da
- O
- njihove
- Njih
- POTEM
- Tukaj.
- zato
- te
- tretjih oseb
- ta
- Grožnja
- skozi
- čas
- Naslov
- do
- vrh
- Sledenje
- trgovini
- tranzit
- Preglednost
- potovanja
- zaupa
- dva
- Vrste
- ne morem
- pod
- doživel
- edinstven
- neznan
- dokler
- posodobitve
- nadgrajen
- naložili
- urdu
- us
- Rabljeni
- uporabnik
- Uporabniški vmesnik
- Uporabniku prijazen
- Uporabniki
- uporablja
- uporabo
- uporabiti
- Valley
- Variant
- različnih
- različica
- preko
- ogled
- vidna
- obisk
- obiskali
- je
- način..
- we
- Vreme
- web
- Spletna stran
- spletne strani
- Weeks
- so bili
- Kaj
- kdaj
- ki
- WHO
- Wikipedia
- okno
- z
- vredno
- let
- zefirnet