保贝狗个人信息保护今日分享:
恶意应用程序从Signal、Viber和Telegram等应用程序中渗入联系人、短信、电话录音,甚至是聊天信息。
ESET研究人员发现了一个针对安卓用户的活跃活动,由Bahamut APT集团进行。这个活动自2022年1月以来一直很活跃,恶意应用程序通过一个假的SecureVPN网站分发,该网站只提供Android应用程序的下载。请注意,虽然整个活动中使用的恶意软件使用SecureVPN的名称,但它与合法的多平台SecureVPN软件和服务没有任何关联。
1、所使用的应用程序在不同时期都是两个合法VPN应用程序之一的木马版本,即SoftVPN或OpenVPN,它们被重新包装成Bahamut间谍软件代码,Bahamut集团过去曾使用过这些代码。
2、能够确定这些被恶意修补的应用程序至少有八个版本,其代码变化和更新都是通过分发网站提供的,这可能意味着该活动得到了良好的维护。
3、修改应用程序的主要目的是提取敏感的用户数据,并主动监视受害者的消息应用程序。
4、我们相信目标是经过精心挑选的,因为一旦Bahamut间谍软件启动,它就会在启用VPN和间谍软件功能之前要求提供激活密钥。激活密钥和网站链接都可能被发送给目标用户。
5、我们不知道最初的传播载体(电子邮件、社交媒体、消息应用程序、短信等)。
ESET研究人员发现了至少八个版本的Bahamut间谍软件。该恶意软件通过一个假冒的SecureVPN网站作为两个合法应用程序--SoftVPN和OpenVPN的木马版本进行传播。这些恶意应用程序从未从Google Play下载过。
该恶意软件能够渗入敏感数据,如联系人、短信、通话记录、设备位置和电话录音。它还可以主动监视通过非常流行的消息应用程序交换的聊天信息,包括Signal、Viber、WhatsApp、Telegram和Facebook Messenger;数据渗出是通过恶意软件的键盘记录功能完成的,它滥用了可访问性服务。该活动似乎是高度有针对性的,因为在遥测数据中没有看到任何实例。
巴哈姆特概述
巴哈姆特APT组织通常以中东和南亚的实体和个人为目标,以鱼叉式网络钓鱼信息和虚假应用程序作为初始攻击媒介。巴哈姆特专门从事网络间谍活动,我们认为它的目标是从受害者那里窃取敏感信息。巴哈姆特也被称为一个雇佣兵组织,为广泛的客户提供黑客雇佣服务。这个名字是由Bellingcat调查性新闻团体为这个似乎是网络钓鱼高手的威胁行为者命名的。Bellingcat以豪尔赫-路易斯-博尔赫斯(Jorge Luis Borges)撰写的《虚构生命之书》中提到的漂浮在浩瀚的阿拉伯海中的巨大鱼类来命名该组织。在阿拉伯神话中,巴哈姆特经常被描述为一种难以想象的巨大鱼类。
近年来,该群体已成为一些出版物的主题,包括:
2017年--Bellingcat
2018年--塔洛斯
2018年--趋势科技
2020年--黑莓
2020年--SonicWall
2021年--打假的猎人
2021年--Cyble
2022年--CoreSec360
2022年--Cyble
分布情况
分析的最初的假SecureVPN应用程序于2022-03-17上传到VirusTotal,来自一个地理定位为新加坡的IP地址,同时还有一个假网站的链接,触发了我们的一个YARA规则。
同时,我们在Twitter上通过@malwrhunterteam的DM收到了关于同一样本的通知。
这次活动中使用的恶意安卓应用程序是通过网站thesecurevpn[.]com(见图1)传递的,该网站使用了合法的SecureVPN服务(在域名securevpn.com)的名称--但没有任何内容或风格。
(图1。伪造的SecureVPN网站提供了一个木马程序的下载)
这个假冒的SecureVPN网站是根据一个免费的网页模板创建的(见图2),它很可能被威胁者用作灵感来源,因为它只需要小的改动,而且看起来很可信。
(图2)
thesecurevpn[.]com是在2022-01-27注册的;然而,假的SecureVPN应用的最初分发时间是未知的。恶意应用程序是由网站直接提供的,在Google Play商店中从未出现过。
归属问题
假的SecureVPN样本中的恶意代码在Cyble和CoreSec360记录的SecureChat活动中看到。我们看到这段代码只在Bahamut进行的活动中使用;与这些活动的相似之处包括在将敏感信息上传到C&C服务器之前将其存储在本地数据库。这些数据库中存储的数据量可能取决于活动的情况。在图3中,你可以看到这个变种的恶意包类与以前的Bahamut代码样本相比。
(图3)
先前的恶意SecureChat包(左)和假的SecureVPN包(右)的类名比较
对比图4和图5,你可以看到早期的SecureChat恶意软件(归属Bahamut)和假冒的SecureVPN恶意软件的SQL查询有相似之处。
(图4。早期SecureChat活动的恶意代码中使用的SQL查询)
(图5。伪造的SecureVPN活动中的恶意代码所使用的SQL查询)
因此,我们认为假冒的SecureVPN应用程序与Bahamut集团有关。
分析报告
自发行网站上线以来,至少有八个版本的巴哈姆特间谍软件可供下载。这些版本是由威胁行为者创建的,其中假的应用程序名称后面是版本号。我们能够从服务器上调出以下版本,我们相信过去提供给潜在受害者的是版本后缀最低的版本,而最近则使用了更高的版本号。
(secureVPN_104.apk,SecureVPN_105.apk,SecureVPN_106.apk,SecureVPN_107.apk,SecureVPN_108.apk,SecureVPN_109.apk,SecureVPN_1010.apk, secureVPN_1010b.apk)
我们将这些版本分为两个分支,因为Bahamut的恶意代码被放置在两个不同的合法VPN应用程序中。
在第一个分支中,从版本secureVPN_104到secureVPN_108,恶意代码被插入合法的SoftVPN应用程序中,可以在Google Play上找到,并使用独特的包名com.secure.vpn。如图6所示,在第一个伪造的SecureVPN应用程序分支的反编译源代码中发现的版本信息中的PARENT_APPLICATION_ID值也可以看到这个软件包名称。
(图6。假的SecureVPN v1.0.4,
其恶意代码包含在SoftVPN中作为父应用程序)
在第二个分支中,从版本secureVPN_109到secureVPN_1010b,恶意代码被插入到合法的开源应用程序OpenVPN中,该应用程序在Google Play上可以找到,它使用独特的包名com.openvpn.secure。与木马化的SoftVPN分支一样,原始应用程序的包名也可以在伪造的SecureVPN应用程序的版本信息中看到,这些信息在反编译的源代码中发现,如图7所示。
(图7。假的SecureVPN v1.0.9 (SecureVPN_109))
其恶意代码包含在OpenVPN中作为其父级程序,即使硬编码的VERSION_NAME(1.0.0)在不同版本之间没有改变。
除了这两个分支的分裂,即相同的恶意代码被植入两个不同的VPN应用程序,其他假冒的SecureVPN版本更新只包含微小的代码变化或修复,考虑到它的整体功能,没有任何重大意义。
威胁者从修补SoftVPN转向OpenVPN作为其父级应用的原因尚不清楚;然而,我们怀疑原因可能是合法的SoftVPN应用停止工作或被维护,不再能够创建VPN连接--正如我们对来自Google Play的最新SoftVPN应用的测试所证实的。这可能是巴哈姆特改用OpenVPN的一个原因,因为潜在的受害者可能会从他们的设备上卸载一个不工作的VPN应用。将一个母体应用换成另一个,可能需要更多的时间、资源和努力,才能由威胁行为者成功实施。
与OpenVPN应用一起打包的恶意代码在VPN代码之上实现了一层。该恶意代码实现了间谍软件功能,要求激活密钥,然后根据攻击者的C&C服务器检查提供的密钥。如果密钥被成功输入,服务器将返回一个令牌,这是Bahamut间谍软件和其C&C服务器之间成功通信所必需的。如果密钥不正确,Bahamut间谍软件和VPN功能都不会被启用。不幸的是,如果没有激活密钥,动态恶意软件分析沙箱可能不会将其标记为恶意应用程序。
在图8中,你可以看到一个最初的激活密钥请求,在图9中可以看到这种请求背后的网络流量和C&C服务器的响应。
(图8。假的SecureVPN在启用VPN和间谍软件功能前要求激活密钥)
(图9。假的SecureVPN激活请求和其C&C服务器的回应)
使用假冒SecureVPN应用程序的活动试图保持低调,因为网站的URL很可能是通过激活密钥传递给潜在的受害者,而网站上并没有提供这种密钥。不幸的是,我们无法获得一个有效的密钥。
激活密钥层不属于原始的OpenVPN功能,我们不承认它是来自任何其他合法应用程序的代码。我们相信它是由Bahamut开发的,因为它也与他们的C&C服务器进行通信。
实施一层保护有效载荷在非目标用户设备上启动后立即被触发,或在被分析时被触发并不是一个独特的功能。我们已经看到巴哈姆特集团在另一个活动中使用了类似的保护,该活动在CoreSec360分析的SecureChat应用程序中实施。这需要受害者做出额外的努力,他们必须创建一个账户并登录,然后启用Bahamut间谍软件的功能。我们还观察到APT-C-23正在使用类似的保护,潜在受害者需要一个有效的优惠券代码来下载恶意应用程序。
功能
如果Bahamut间谍软件被启用,那么它可以被Bahamut操作员远程控制,并可以渗出各种敏感的设备数据,如:
联系、短信、通话记录、已安装的应用程序的列表、设备位置、设备账户、设备信息(互联网连接类型、IMEI、IP、SIM序列号)、通话记录,以及外部存储器上的文件列表。
通过滥用可访问性服务,如图10所示,恶意软件可以从SafeNotes应用程序中窃取笔记,并主动监视聊天信息和来自流行的消息应用程序的通话信息,如:
imo-国际电话和聊天、脸书信使、Viber、信号私人信使、WhatsApp、电报、微信,以及Conion应用程序
(图10。伪造的SecureVPN请求手动启用可访问性服务)
所有渗出的数据都存储在本地数据库中,然后发送到C&C服务器。巴哈姆特间谍软件的功能包括通过接收来自C&C服务器的新版本链接来更新该应用程序的能力。
总结
由Bahamut APT集团操作的移动活动仍然活跃;它使用相同的方法,通过冒充或伪装成合法服务的网站分发其安卓间谍软件应用程序,这在过去已经看到过。此外,间谍软件的代码,以及它的功能,与以前的活动相同,包括在将数据发送到运营商的服务器之前,在本地数据库中收集要渗出的数据,这种策略在移动网络间谍应用程序中很少见。
看来这个活动一直保持着低调,因为我们在遥测数据中没有看到任何实例。这可能是通过高度有针对性的分发来实现的,在那里,潜在的受害者与Bahamut间谍软件的链接一起被提供一个激活密钥,这是启用恶意软件的间谍功能所需要的。
IoCs文件
网络
MITRE ATT&CK技术
本表是使用ATT&CK框架的第11版建立的。
这里是保贝狗个人信息保护今日的分享,保贝狗,永远捍卫个人隐私的权利。
本文暂时没有评论,来添加一个吧(●'◡'●)