Lookout обнаружила шпионское ПО для Android, развернутое в Казахстане
Исследователи Lookout Threat Lab обнаружили программы слежения корпоративного уровня для Android, используемые правительством Казахстана. Хотя угроза уже давно знакома и отслеживается с помощью Lookout Endpoint Detection and Response (EDR), в апреле 2022 года, были обнаружены новые образцы этого ПО.
Согласно результатам анализа, шпионское ПО с названием «Hermit», скорее всего, разработано итальянским поставщиком такого рода программ RCS Lab S.p.A. и Tykelab Srl – компанией по разработке телекоммуникационных решений, которая, скорее всего, является подставной.
Это не первый случай применения Hermit. Мы знаем, что итальянские власти использовали его в антикоррупционной операции в 2019 году. Мы также обнаружили доказательства того, что неизвестный агент использовал его в северо-восточной Сирии, преимущественно курдском регионе, где происходят многочисленные региональные конфликты.
RCS Lab, известный разработчик, действующий уже более трех десятилетий, работает на том же рынке, что и разработчик Pegasus — NSO Group Technologies и Gamma Group, создавшая FinFisher. Объединенные под брендом компаний, занимающихся «законным перехватом», они утверждают, что продают свои продукты только клиентам, которые могут законно использовать программное обеспечение для наблюдения, например, спецслужбам и правоохранительным органам. В действительности такие инструменты часто используются под прикрытием национальной безопасности для шпионажа за руководителями предприятий, правозащитниками, журналистами, учеными и чиновниками.
Что такое Hermit?
Названный в честь отдельного пути к серверу, который используется Command and Сontrol (C2) инфраструктурой злоумышленника, Hermit — это модульная программа наблюдения, которая скрывает свои вредоносные возможности в пакетах, загружаемых после ее развертывания.
В ходе исследования было проанализировано 16 из 25 известных модулей, каждый из которых обладает уникальными возможностями. Эти модули, вместе с разрешениями, которыми обладают основные приложения, позволяют Hermit использовать корневое устройство: записывать аудио, совершать и перенаправлять телефонные звонки, а также собирать такие данные, как журналы вызовов, контакты, фотографии, местоположение устройства и SMS-сообщения.
Предполагается, что шпионское ПО распространяется через SMS-сообщения, исходящих от якобы надежного источника. Проанализированные образцы вредоносного ПО выдавали себя за приложения телекоммуникационных компаний или производителей смартфонов. Hermit обманывает пользователей, открывая официальные веб-страницы брендов, за которые он себя выдает, в то время как вредоносная деятельность запускается в фоновом режиме.
Существует версия Hermit и для iOS устройств, но пока нет возможности проанализировать ее.
Развертывание в Казахстане
Анализ показывает, что Hermit не только был развернут в Казахстане, но и что за этой кампанией, вероятно, стоит один из представителей правительства страны. Насколько известно, это первый случай, когда был выявлен заказчик мобильного вредоносного ПО, разработанного RCS Lab.
Впервые образцы из этой кампании были обнаружены в апреле 2022 года. Они назывались «oppo.service» и выдавали себя за китайского производителя электроники Oppo. Веб-сайт, который программа использовала для маскировки своей вредоносной активности, — это официальная страница поддержки Oppo (http://oppo-kz.custhelp[.]com), которая с тех пор не работает. Также были обнаружены образцы, выдающие себя за Samsung и Vivo.
Страница поддержки Oppo загружается и отображается для пользователей, в то время как вредоносные действия происходят в фоновом режиме.
Образцы, использованные в казахстанской целевой кампании, подключались к С2-адресу 45.148.30[.]122:58442. Однако дальнейший анализ сервера C2 шпионской программы показал, что этот IP-адрес используется в качестве прокси для реального сервера C2 по адресу 85.159.27[.]61:8442. Реальный IP-адрес C2 администрируемый STS Telecom, небольшим интернет-провайдером (ISP), работающим из Нур-Султана, столицы Казахстана. Судя по скудным онлайн-записям, STS специализируется на «других проводных телекоммуникациях» и кабельных услугах.
Взаимодействие с плохо настроенным сервером C2 выявило истинный IP-адрес C2.
Сирия, Италия и другие мишени
До выявления образцов из Казахстана в пассивных DNS-записях Hermit было обнаружено упоминание «Рожавы», курдоязычного региона на северо-востоке Сирии. Это важно, поскольку регион является местом постоянных кризисов, таких как гражданская война в Сирии и конфликты между Исламским государством (ИГ) и коалицией во главе с США, поддерживающей возглавляемые курдами Сирийские демократические силы (SDF). Совсем недавно Турция провела ряд военных операций против SDF, которые привели к частичной оккупации региона.
Обнаруженный домен (rojavanetwork[.]info) имитирует «Сеть Рожавы», социальный бренд в Facebook и Twitter, который освещает новости и проводит политический анализ региона, часто в поддержку операций SDF.
Домен rojavanetwork[.]info, по-видимому, специально имитирует «Rojava Network», бренд социальных сетей в Facebook и Twitter, который освещает новости и политический анализ региона, часто в поддержку операций SDF.
За пределами Сирии Hermit был развернут в Италии. Согласно документу, опубликованному нижней палатой парламента Италии в 2021 году, итальянские власти использовали его в антикоррупционной операции. В документе упоминается версия Hermit для iOS.
Технический анализ: расширенные возможности Hermit
Hermit — это высоко конфигурируемая программа наблюдения с корпоративными возможностями по сбору и передаче данных.
Например, она использует 20 с лишним параметров, что позволяет любому оператору настроить ее под свою кампанию. Шпионская программа также пытается сохранить целостность данных собранных «улик», отправляя код аутентификации сообщений на основе хэша (HMAC). Это позволяет определить, кто отправил данные, а также убедиться, что они не изменились. Использование этого метода для передачи данных может обеспечить доступ к собранным доказательствам.
Чтобы скрыть свои истинные намерения, Hermit построен по модульному принципу. Это означает, что вредоносная функциональность скрыта в дополнительных полезных нагрузках, которые программа загружает по мере необходимости.
Как он обманывает жертв и избегает обнаружения
Как уже упоминалось, Hermit притворяется, что исходит от настоящих организаций, а именно телекоммуникационных компаний или производителей смартфонов. Чтобы сохранить этот фасад, программа загружает и отображает веб-сайт компании, за которую себя выдает, одновременно с началом вредоносной деятельности в фоновом режиме.
Первый вредоносный шаг — расшифровка встроенного конфигурационного файла со свойствами, которые используются для связи с сервером C2. Но, прежде чем связь произойдет, Hermit выполняет ряд проверок, чтобы убедиться, что его не анализируют. Это включает поиск наличия специального эмулятора и признаков того, что само приложение было модифицировано для облегчения анализа.
Модули и сбор данных
Как только вредоносная программа соединяется с C2, она получает инструкции по загрузке модулей, каждый из которых обладает определенными возможностями. Помимо модулей, разрешения, которые запрашивает программа, позволяют определить различные способы сбора данных.
Hermit может быть запрошен C2 для загрузки модулей с любого URL и последующей динамической загрузки.
В общей сложности было получено 16 модулей путем взаимодействия с IP-адресом (45.148.30[.]122:58442) «oppo.service», используемым для связи C2. Судя по идентификационным номерам, присвоенным модулям в коде Hermit, существует как минимум 25 модулей.
Внутри основного приложения мы обнаружили абстрактный класс под названием «module», который давал дополнительные подсказки о том, на что способны остальные модули. Код содержал ссылки на использование эксплойтов, что было подтверждено подсказками, найденными в полученных модулях. Хотя нам не предоставляли эксплойты во время тестирования, мы можем сказать, что эксплуатируемое устройство будет иметь локальную корневую службу, прослушивающую 127.0.0.1:500, которую вредоносная программа будет «пинговать».
Некоторые переменные намекают, что Hermit имеет модули, которые могут использовать эксплойты.
Если подтверждается, что устройство пригодно для эксплуатации, то она связывается с C2 для получения файлов, необходимых для эксплуатации устройства, и запускает свою корневую службу. Затем эта служба будет использоваться для включения повышенных привилегий устройства, таких как доступ к службам поддержки, содержимому уведомлений, состоянию использования пакетов и возможности игнорировать оптимизацию батареи.
Помимо службы root, некоторые модули ожидают или пытаются использовать доступ root напрямую через двоичный файл su. Эти модули попытаются изменить общие предпочтения приложения SuperSU, чтобы обеспечить выполнение команд root без участия пользователя.
Хотя это может быть обычной попыткой использования root без ведома пользователя, SuperSU также может быть частью неизвестного процесса эксплуатации. Если root недоступен, модули могут побудить пользователя выполнить действия, которые приведут к достижению тех же целей.
Вот модули, которые удалось получить (полное описание каждого модуля приведено в приложении):
· Accessibility Event
· Audio · Camera · File download · Notification Listener |
· Account
· Browser · Clipboard · File upload · Screen Capture |
· Address Book
· Calendar · Device Info · Log · Telegram |
Как и другим оружием, шпионскими программами можно легко злоупотреблять
Поставщики так называемого «законного перехвата» шпионского ПО, такие, как RCS Lab, NSO Group и Gamma Group, обычно утверждают, что продают его только тем организациям, у которых есть законное право использовать программы наблюдения, например, полицейским структурам, борющимся с организованной преступностью или терроризмом. Однако, особенно в последние годы, поступает много сообщений о том, что шпионские программы используются не по назначению.
Hermit был развернут в Казахстане и Сирии – странах с плохими показателями в соблюдении прав человека. Даже в случае антикоррупционных операций в Италии, как утверждается, имело место неправомерное использование личных и частных данных.
В некотором смысле средства электронного наблюдения не сильно отличаются от любого другого вида оружия. Только в этом месяце, столкнувшись с финансовым давлением, генеральный директор группы NSO Шалев Хулио открыл продажу «рискованным» клиентам. Производители шпионских программ действуют в условиях секретности и ограниченного контроля, и законность использования их продуктов редко бывает столь однозначной, как они заявляют.
Как защитить себя от шпионских программ типа Hermit
Благодаря современным возможностям сбора данных и тому факту, что мы постоянно носим их с собой, мобильные устройства являются идеальной мишенью для слежки. Хотя не все мы станем жертвами сложных шпионских программ, вот несколько советов, как обезопасить себя и свою организацию:
- Обновляйте телефон и приложения: операционные системы и приложения часто имеют уязвимости, которые необходимо устранять. Обновите их, чтобы убедиться, что уязвимости устранены.
- Не нажимайте на неизвестные ссылки: один из самых распространенных способов доставки злоумышленниками вредоносного ПО — отправка сообщения, выдающего себя за законный источник. Не нажимайте на ссылки, особенно если вы не знаете их источник.
- Не устанавливайте неизвестные приложения: соблюдайте осторожность при установке неизвестных приложений, даже если источник приложения кажется легальным.
- Периодически проверяйте свои приложения: иногда вредоносные программы могут изменять настройки или устанавливать на телефон дополнительный контент. Периодически проверяйте свой телефон, чтобы убедиться, что ничего неизвестного не было добавлено.
- В дополнение к соблюдению описанных выше правил безопасности мы настоятельно рекомендуем использовать специальное решение для обеспечения безопасности мобильных устройств, чтобы исключить возможность заражения вашего устройства вредоносными программами или фишинговыми атаками.
Насколько нам известно, приложения, описанные в этой статье, никогда не распространялись через Google Play.
Индикаторы компрометации
Основные индикаторы App
SHA1 |
ca101ddfcf6746ffa171dc3a0545ebd017bf689a |
b1dfb2be760d209846f2147ce32560954d2f71b5 |
cf610aae906ffcfd52c08d6ba03d9ce2c9996ac8 |
22f49fa7fe1506d2639f08e9ae198e262396c052 |
97ead8dec0bf601ba452b9e45bb33cb4a3bf830f |
527141e1ee5d76b55b7c7640f7dcf222cb93e010 |
4f8145805eec0c4d8fc32b020744d4f3f1e39ccb |
9f949b095c2ab4b305b2ea168ae376adbba72ffb |
Индикаторы сети
IP адрес | Порт |
2.229.68[.]182 | 8442 |
2.228.150[.]86 | 8443 |
93.57.84[.]78 | 8443 |
93.39.197[.]234 | 8443 |
45.148.30[.]122 | 58442 |
85.159.27[.]61 | 8442 |
Образцы доменов, используемых в таргетированных действиях Hermit
· 119-tim[.]info
· 133-tre[.]info · 146-fastweb[.]info · 155-wind[.]info · 159-windtre[.]info · iliad[.]info · amex-co[.]info · cloud-apple[.]info · fb-techsupport[.]com |
· milf[.]house
· mobdemo[.]info · mobilepays[.]info · kena-mobile[.]info · poste-it[.]info · rojavanetwork[.]info · store-apple[.]info · wind-h3g[.]info |
Конфигурации параметров, которые использует Hermit
Параметр | Конфигурация |
vps | Отпечаток сертификата, IP-адрес и порт для связи C2 |
p1,p3,p4,p5,p6 | Серверные конечные точки для различных соединений C2 |
redirectUrl | Это безопасный URL-адрес, открываемый при запуске приложения |
hidden | Определяет, будет ли иконка приложения скрыта. |
vpsseed | Строка, используемая вместе с android_id в качестве уникального идентификатора устройства |
certificateSignature | Предполагаемая подпись приложения. Если подпись не совпадает, приложение не будет запущено. |
wdpn | Имя пакета другого приложения, с которым взаимодействовали на устройстве |
wdcn | Имя компонента службы, содержащегося в приложении wdpn |
xAuthToken | HTTP-заголовок, добавляемый к каждому запросу для аутентификации |
psk | Предварительно созданный ключ, используемый для аутентификации сообщений |
deleteApk | Boolean, указывающий, следует ли удалять APK-файлы, если проверки на анти эмуляции провалились |
fp | Отпечаток пальца для настройки шифрования protobuf |
pk | Открытый ключ для настройки шифрования protobuf |
applicationId, gcmSenderId projectId, storageBucket apiKey | Параметры настройки службы Firebase Messaging Service |
Модули, загружаемые Hermit
Название модуля | Функция | Примечание |
Accessibility Event | Отслеживайте приложения в фоновом режиме. | |
Account | Кража сохраненных e-mail аккаунтов. | |
Address Book | Кража контактов. | |
Audio | Запись аудио. | |
Browser | Кража закладок браузера/истории поиска. | |
Calendar | Кража записей в календаре, участников. | |
Camera | Делает снимки. | |
Clipboard | Кража существующего и будущего содержимого буфера обмена. | |
Device Info | Извлечение информации об устройстве, включая:
· приложения · информация о ядре · Модель · Производитель · версия ОС · номер телефона · патч безопасности
|
|
File Download | Загрузка и установка файлов APK на устройство. | Использует root для скрытой установки приложений. |
File Upload | Выгрузка файлов с устройства. | Использует root для копирования файлов, к которым у приложения нет доступа. |
Log | Включение/выключение логирования. | |
Notification Listener | Эксфильтрация содержимого уведомлений. Удаление/приостановка уведомлений, которые ссылаются на приложение Hermit, но не исходят от него. | |
Screen Capture | Делает снимки экрана. | Использует root для запуска ‘screencap’ |
Telegram | Предлагает пользователю переустановить Telegram на устройстве с помощью загруженного APK. | Использует root для скрытого удаления/переустановки Telegram. Также копирует данные старого приложения в папку нового приложения, изменив значения контекстов SELinux и владельцев файлов |
Предлагает пользователю переустановить WhatsApp через Play Store. |
Пользователи Lookout защищены от этих угроз. Ведь платформа Lookout разработана с учетом постоянно меняющихся требований к безопасности мобильных устройств, а график безопасности Lookout использует искусственный интеллект для защиты от известных и неизвестных угроз. Компания iIT Distribution обеспечивает комплексную поддержку по внедрению эффективных решений для киберзащиты, чтобы вы и ваши данные оставались в безопасности.