不友善的間諜軟體——BusyGasper
在2018年初,我們的移動入侵檢測技術是由一個可疑的Android樣本觸發的,事實證明,該樣本屬於一個未知的間諜軟體家族。進一步的調查顯示,名為BusyGasper的惡意軟體並不是那麼複雜,但它展示了一些不同尋常的功能。從技術角度來看,樣本是一種獨特的間諜植入程式,具有突出的功能,例如裝置感測器監聽器,包括已經實現了一定程度原創性的運動檢測器。它具有令人難以置信的廣泛協議(大約100個命令),並且能夠繞過Doze節電器。作為一款現代Android間諜軟體,它還能夠從訊息應用程式(WhatsApp,Viber,Facebook)中提取資料。此外,BusyGasper擁有一些鍵盤記錄工具——惡意軟體處理使用者提供每個點選,收集其座標和計算字元,方法是將給定值與硬編碼值匹配。
該樣本具有多元件結構,可以從其C&C伺服器下載有效載荷或更新,這恰好是屬於免費俄語網路託管服務商Ucoz的FTP伺服器。值得注意的是BusyGasper支援在Android惡意軟體中很少見到的IRC協議。此外,惡意軟體可以登入攻擊者的電子郵件收件箱,在特殊資料夾中解析電子郵件以獲取命令,並通過電子郵件附件將任何有效載荷儲存到裝置中。
此特定行動自2016年5月左右開始一直活躍至今。
一、感染向量和受害者
在尋找感染載體時,我們沒有發現魚叉式網路釣魚或其他常見載體。但是一些線索,例如存在用於操作控制的隱藏選單,指向手動安裝方法 – 攻擊者使用對受害者裝置的物理訪問來安裝惡意軟體。這可以解釋受害者的數量(其中不到10個),根據我們的檢測統計資料,它們都位於俄羅斯。
出於好奇,我們繼續搜尋,發現了更多有趣的線索,可以揭示有關受感染裝置所有者的一些詳細資訊。在攻擊者的FTP伺服器上帶有命令的幾個TXT檔案包含了可能由犯罪分子新增的受害者名稱的識別符號:
其中一些聽起來像俄羅斯名字:Jana,SlavaAl,Nikusha。
正如我們從FTP轉儲分析中所知,有一個來自ASUS(華碩)韌體的元件,表明攻擊者對華碩裝置的興趣,這解釋了提到“ASUS”的受害者檔名。
從電子郵件帳戶收集的資訊提供了許多受害者的個人資料,包括來自IM應用程式的訊息。
收集到的其他資料包括銀行簡訊資訊,其中顯示餘額超過10,000美元的賬戶。但據我們所知,此次行動背後的攻擊者並不想竊取受害者的錢。
我們發現BusyGasper與商業間諜軟體產品或其他已知的間諜軟體變體沒有任何相似之處,這表明BusyGasper是由一個威脅行為者自行開發和使用的。同時,缺乏加密,使用公共FTP伺服器和低opsec級別可能表明惡意軟體的幕後黑手不太熟練。
二、技術細節
以下是觀察到的樣本、證書和硬編碼版本標記的元資訊:
有趣的是,發行者“Sun”與來自FTP伺服器的受感染裝置的“Sun1”和“Sun2”識別符號匹配,表明它們可能是測試裝置。
分析的植入程式具有複雜的結構,目前我們已觀察到兩個模組。
(一)第一個模組
第一個模組安裝在目標裝置上,可以通過IRC協議進行控制,並通過從FTP伺服器下載有效載荷來部署其他元件:
@install command
從上面的螢幕截圖中可以看出,一個新元件被複制在系統路徑中,但如果沒有root許可權,則無法進行此操作。在撰寫本文時,我們沒有證據表明利用漏洞來獲取root許可權,儘管攻擊者可能會使用一些看不見的元件來實現此功能。
以下是第一個模組可以執行的可能命令的完整列表:
植入程式在其元件之間使用複雜的通訊機制來廣播命令:
BusyGasper元件之間關係的近似圖
(二)第二個模組
此模組將命令執行歷史記錄的日誌寫入名為“lock”的檔案,該檔案稍後將被刪除。下面是日誌的片段:
使用指定的命令記錄
日誌檔案可以上傳到FTP伺服器併發送到攻擊者的電子郵件收件箱。甚至可以通過簡訊向攻擊者的號碼傳送日誌訊息。
如上面的螢幕截圖所示,惡意軟體有自己的命令語法,?表示字元組合,而“#”符號是分隔符。有關描述的所有可能命令的完整列表可以在下面的附錄II中找到。
惡意軟體具有現代間諜軟體的所有流行功能。以下是最值得注意的描述:
· 植入程式能夠監視所有可用的裝置感測器並記錄已註冊的事件。此外,加速計有一個特殊的處理程式,可以計算和記錄裝置的速度:
· 此功能特別用於使裝置靜音的命令“tk0”,禁用鍵盤鎖,關閉亮度,使用喚醒鎖並偵聽裝置感測器。這允許它靜默地執行任何後門活動,而無需使用者知道裝置處於活動狀態。一旦使用者拿起裝置,植入程式將檢測到運動事件並執行“tk1”和“input keyevent 3”命令。
· “tk1”將禁用“tk0”命令的所有效果,而“input keyevent 3”是模擬按下“home”按鈕的shell命令,因此所有當前活動將被最小化,使用者不會產生任何懷疑。
· 啟用(GPS /網路)跟蹤的位置服務:
· 電子郵件命令和控制協議。植入程式可以登入攻擊者的電子郵件收件箱,在特殊的“Cmd”資料夾中解析電子郵件以獲取命令,並通過電子郵件附件將任何有效負載儲存到裝置中。
訪問攻擊者收件箱中的cmd資料夾
· 此外,它可以通過電子郵件從受害裝置傳送指定檔案或所有收集的資料。
· 緊急SMS命令。如果傳入的SMS包含以下魔術字串之一:“2736428734”或“7238742800”,惡意軟體將執行多個初始命令:
三、鍵盤記錄
鍵盤記錄以原始方式實現。
啟用後,惡意軟體會立即在新視窗中建立一個textView元素,其中包含以下佈局引數:
所有這些引數確保元素對使用者隱藏。
然後它將onTouchListener新增到此textView,並能夠處理每個使用者點選。
有趣的是,有一個錄音活動的白名單:
ui.ConversationActivity ui.ConversationListActivity SemcInCallScreen Quadrapop SocialPhonebookActivity
監聽器只能使用座標進行操作,因此它通過將給定值與硬編碼值匹配來計算按下的字元:
此外,如果有預定義的命令,鍵盤記錄器可以擷取顯示的區域:
四、手動訪問和操作選單
有一個隱藏選單(Activity)用於控制植入程式特徵,看起來像是為手動操作控制而建立的。要啟用此選單,操作員需要從受感染的裝置中呼叫硬編碼的數字“9909”:
然後隱藏的選單會立即顯示在裝置顯示屏上:
操作員可以使用此介面鍵入任何要執行的命令。它還顯示當前的惡意軟體日誌。
五、基礎設施
FTP伺服器
攻擊者使用ftp://213.174.157 [.] 151 /作為命令和控制伺服器。IP屬於免費的俄羅斯網路託管服務商Ucoz。
用於植入程式元件的SuperSU配置片段和busybox工具supersu.cfg:
此配置允許植入程式靜默使用所有root特徵。
bdata.xml檔案的內容:
可以將其新增到/system/etc/sysconfig/路徑,以便從電池省電系統將指定的植入程式元件列入白名單。
Email帳戶
樣本程式碼中提到了一個帶密碼的Gmail帳戶:
它包含受害者的洩露資料和“cmd”目錄,其中包含受害裝置的命令。
附錄I: IoC
MD5
9E005144EA1A583531F86663A5F14607
18ABE28730C53DE6D9E4786C7765C3D8
2560942BB50EE6E6F55AFC495D238A12
6C246BBB40B7C6E75C60A55C0DA9E2F2
7C8A12E56E3E03938788B26B84B80BD6
9FFC350EF94EF840728564846F2802B0
BDE7847487125084F9E03F2B6B05ADC3
C2
ftp://213.174.157[.]151/