近日,趋势科技宣称他们在一个钓鱼网站上发现了一个伪装成聊天APP的新型间谍软件家族,并认为这些恶意APP很有可能是在为一场大规模活动而做的准备。
根据趋势科技的说法,他们发现第一款恶意APP的时间是在今年5月份。恶意APP名为“Chatrious”,可通过点击网站上的下载按钮来下载安装包。
但在之后的几个月里,钓鱼网站一直处于关闭状态。直到今年10月份,钓鱼网站再次上线,但可下载的APP已经更换为了“Apex”。
分析表明,Apex和Chatrious同属一个间谍软件家族,都能够窃取用户的个人信息。目前,趋势科技已将该间谍软件家族标识为“AndroidOS_CallerSpy.HRX”。
图1. Chatrious(左)和Apex(右)
行为分析
如上所述,CallerSpy被描述为聊天APP,但分析表明它根本不具备聊天功能。
一旦执行,它就会通过Socket.IO启动与C&C服务器的连接,以监听来自C&C服务器的命令。
然后,它会利用Evernote Android-Job开始调度计划任务以窃取信息。
图2. CallerSpy启动C&C连接(左),然后开始调度计划任务(右)
CallerSpy会设置多个计划任务,以收集受感染设备上的通话记录、短信、联系人列表和文件。此外,它还能够进行屏幕截图,并将截图上传到C&C服务器。
图3.预设的计划任务
所有的被盗信息都将被存储在本地数据库中,然后定期上传到C&C服务器。
CallerSpy的目标文件类型如下:
- jpg
- jpeg
- png
- docx
- xls
- xlsx
- ppt
- pptx
- doc
- txt
- csv
- aac
- amr
- m4a
- opus
- wav
- amr
图4.本地数据库
当CallerSpy接收到来自C&C服务器的命令后,它便会进行屏幕截图。随后,它将对截图进行Base64编码,并通过预先配置的Socket.IO连接上传到C&C服务器。
图5.监听来自C&C服务器的命令(左),屏幕截图并上传截图(右)
基础设施分析
为了诱骗用户下载APP,攻击者使用了类似Google的山寨域名——Gooogle。
图6.伪造的版权信息
Whois查询显示,这个域名是于2019年2月11日在Namecheap注册的,但是有关注册人的信息全都无法追溯。
图7. gooogle[.]press的注册信息
虽然趋势科技设法捕获到了四个C&C服务器IP地址,但却发现他们都托管在合法服务上,唯一能确定的只有C&C服务在端口3000上使用Node.js。
暴风雨的前夕
趋势科技,他们到目前为止还没有发现实际的CallerSpy感染者,但同时也提出了一个可能,即CallerSpy目前仍处于测试阶段,攻击者很可能是在为一场大规模活动而做准备。
首先,CallerSpy目前还没有用户界面(UI),也没有其所描述的聊天功能。
其次,它目前使用的仍是默认的应用程序图标,甚至被标记为“rat”,而且还存留了一些调试代码。
图8. CallerSpy的图标和名称(左),调试代码(右)
再次,样本认证信息也表明,它目前仅用于测试。
图9.认证信息
最后,钓鱼网站页面上有三个按钮,分别是“APPLE STORE”、“GOOGLE PLAY”和“WINDOWS STORE”,说明CallerSpy至少适用于Apple、Android和Windows这三个平台。
图10.CallerSpy被宣传为支持三大平台
但实际情况是,它目前仅支持Android。
1028
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
