Инциденты

Целевая атака с участием Android-троянца

В прошлом мы видели целевые атаки против тибетских и уйгурских активистов на платформах Windows и Mac OS X. Мы задокументировали несколько интересных атак (Подарок на день рождения Далай-ламы и Волна кибератак на уйгуров — пользователей MacOSX), в которых использовались ZIP-файлы, а также документы в форматах DOC, XLS и PDF, начиненные эксплойтами.

Несколько дней назад был взломан электронный ящик известного тибетского активиста; с него впоследствии совершались целевые атаки против других активистов и правозащитников. Самое интересное заключается в том, что письма, через которые выполнялись целевые атаки, содержали вложение формата APK — зловред под Android.

Атака

24 марта 2013 года был взломан электронный ящик известного тибетского активиста и использован для целевого фишинга (spear phishing). Фишинговые письма рассылались по списку контактов и выглядели так:

Что касается содержания приведенного выше сообщения, то несколько различных групп активистов недавно организовали конференцию по правам человека в Женеве. Мы заметили увеличение количества атак, использующих это событие в качестве наживки. Вот ещё один пример такой атаки, направленной против пользователей Windows:

Возвращаясь к Android Package (APK)-файлу: он был прикреплен к письму, и нёс в себе Android-приложение под названием «WUC’s Conference.apk».

Вредоносный файл имеет размер в 334326 байтов, MD5: 0b8806b38b52bebfe39ff585639e2ea2. Распознаётся продуктами «Лаборатории Касперского» как «Backdoor.AndroidOS.Chuli.a».

После установки на рабочем столе появляется приложение под названием «Conference»:

Если пользователь запускает это приложение, он видит текст, в котором сообщаются факты о предстоящей конференции:

Обратите внимание на ошибочное написание «Word» вместо «World»:

Перевод полного текста приводится ниже.

От имени всех на всемирном уйгурском конгрессе (WUC), Организации наций и народов, не имеющих представительства (UNPO) и Общества народов, находящихся под угрозой (STP), Права человека в Китае: предпосылки для Восточного Туркестана, Тибета и Южной Монголии.

В беспрецедентной встрече ведущих уйгурских, монгольских, тибетских и китайских активистов, а также других ведущих международных экспертов, мы были поражены колоссальным энтузиазмом, содействием и желанием всех присутствующим сделать по-настоящему значимым данное событие, в результате которого были приняты конкретные практические решения в ответ на наши общие трудности. Мы особо восхищены платформой и рабочей программой, обозначенной в декларации конференции. Искренне надеемся, что на этой основе будет выстроено крепкое и решительное сотрудничество касательно общих целей на будущее. В этой связи, мы надеемся на будущее сотрудничество с вами по данным вопросам.

Долкун Иса

Председатель Исполнительного комитета

Всемирный уйгурский конгресс

В то время как пользователь читает это фальшивое сообщение, зловред тайно сообщает на командный сервер об успешном заражении, затем начинает собирать информацию, хранящуюся на устройстве. Собираются следующие данные:

  • Списки контактов (хранящиеся как на телефоне, так и на SIM-карте).
  • Журналы звонков.
  • SMS-сообщения.
  • Данные геолокации.
  • Информация о телефоне (номер, версия ОС, модель телефона, версия SDK).

Важно отметить, что данные не загружаются на командный сервер автоматически. Троянец ожидает входящих SMS-сообщений («alarmReceiver.class») и проверяет их на наличие одной из следующих команд: «sms», «contact», «location», «other». Если находится одна из этих команд, зловред шифрует украденные данные при помощи системы Base64 и загружает их на командный сервер. URL-адрес командного сервера:

hxxp://64.78.161.133/*victims’s_cell_phone_number*/process.php

Кроме того, зловред также отправляет отчёт другому скрипту по адресу hxxp://64.78.161.33/android.php. В первую очередь он получает переменную «nativenumber» от значения «telmark» от «AndroidManifest.xml». Это значение жёстко закодировано и равно «phone». Затем он добавляет к этому результат вызова метода localDate.getTime(), который просто возвращает текущую дату. Пример строки, посылаемой на командный сервер: «phone 26.03.2013».

Интересно, что киберпреступники использовали библиотеку Java Base64, разработанную Sauron Software. Это бесплатное ПО, распространяемое по лицензии LGPL.

Команды, получаемые зловредом, парсятся при помощи функции «chuli()» до того, как украденные данные загружаются командой POST на командный сервер. Похоже, киберпреступники немного знакомы с языком «адресатов» атаки и культурой горного туризма: «chuli» означает «вершина»:

Командный сервер и параметры можно легко увидеть в исходном коде после декомпиляции:

Код взаимодействия с командным сервером

Зловред способен логгировать все свои важные действия, в том числе комментариями на китайском. Вероятно, это было сделано на случай необходимости отладки, что, возможно, указывает на то, что перед нами ранняя версия вредоносной программы. Вот некоторые действия (и примерный перевод):

Командный сервер

Командный сервер расположен по IP-адресу 64.78.161.133. Этот IP-адрес расположен в Лос-Анджелесе, США. Хостинг предоставляется компанией Emagine Concept Inc.

Интересно, но есть домен, который ведёт на этот адрес – DlmDocumentsExchange.com. Домен был зарегистрирован 8 марта 2013 г.:

Registration Service Provided By: SHANGHAI MEICHENG TECHNOLOGY INFORMATION DEVELOPMENT CO., LTD.
Domain Name: DLMDOCUMENTSEXCHANGE.COM
Registration Date: 08-Mar-2013
Expiration Date: 08-Mar-2014
Status:LOCKED

В регистрационных данных домена указан следующий владелец:

Registrant Contact Details:
peng jia
peng jia (bdoufwke123010@gmail.com)
beijingshiahiidienquc.d
beijingshi
beijing,100000
CN
Tel. +86.01078456689
Fax. +86.01078456689

На командном сервере располагается главная страница, в содержимом которой есть также ссылка на APK-файл:

Документ Document.apk, к которому ссылается страница, размером в 333583 байтов, MD5: c4c4077e9449147d754afd972e247efc. У него такой же функционал, как у описанного выше, но он содержит другой текст. Новый текст написан по-китайски и касается отношений между Китаем и Японией, упоминаются спорные острова Сенкаку / Дяоюйдао / Дяоюйтай. Этот текст отображается жертвам атаки в следующем виде:

Вот как выглядит индексная страница командного сервера, если открыть её в браузере:

Текст на китайском в заголовке означает «Заголовок Заголовок Заголовок». Следующие строчки, по всей видимости, являются случайными символами, набранными с клавиатуры.

Интересно, что на командном сервере есть публично доступный интерфейс для работы с жертвами:

Вот некоторые команды с приблизительным переводом:

Командный сервер работает под Windows Server 2003, настроен на китайский язык:

Всё это указывает на то, что атакующие говорят по-китайски.

Заключение

Каждый день имеют место сотни, если не тысячи атак, направленных на тибетских и уйгурских активистов. Подавляющее большинство этих атак направлены на компьютеры, работающие под Windows; угроза распространяется через документы Word, в которых эксплуатируются известные уязвимости, такие как CVE-2012-0158, CVE-2010-3333 и CVE-2009-3129.

В данном случае киберпреступники взломали учётную запись тибетского активиста и с нее атаковали уйгурских активистов. Таким образом, налицо интересная тенденция: киберпреступники используют доверительные отношения, существующие между этими сообществами. Этот подход напоминает комбинацию старых стратегий «разделяй и властвуй» и «возьмём обманом».

На данный момент мы пока не наблюдали «в дикой природе» целевых атак на мобильные телефоны, однако наблюдаются признаки того, что таковые готовятся.

Для проведения данной атаки киберпреступники воспользовались взломанной учётной записью известного тибетского активиста. До настоящего времени киберпреступники для заражения жертв полностью полагались на методы социальной инженерии. История говорит нам о том, что в своё время для проведения атак будут использоваться 0-day уязвимости, эксплойты, а также сочетание нескольких методов.

На данный момент, наилучшей стратегией защиты будет избегание запуска любых APK-приложений, приходящих на мобильные телефоны через электронную почту.

Продукты «Лаборатории Касперского» распознают вредоносное ПО, используемое в данной атаке, как Backdoor.AndroidOS.Chuli.a.

Значения MD5:

c4c4077e9449147d754afd972e247efc Document.apk
0b8806b38b52bebfe39ff585639e2ea2 WUC’s Conference.apk

Целевая атака с участием Android-троянца

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике