概述
近期,我们发现了针对中东地区国家的网络间谍活动。我们根据名为“golf”的软件包中的代码,将该恶意活动命名为“Bouncing Golf”。Trend Micro检测到其中包含的恶意软件名称为“AndroidOS_GolfSpy.HRX”,该恶意软件由于其广泛的网络间谍功能而闻名。恶意运营者使用合法的应用程序,将恶意代码嵌入到其中,再进行重新封装。我们对Bouncing Golf使用的命令和控制(C&C)服务器进行监控,到目前为止,我们已经观察到超过660台Android设备感染了GolfSpy。攻击者所窃取的大部分信息似乎都与军事有关。
该恶意活动的攻击媒介也非常有趣。这些重新封装的恶意软件应用程序不会被投放到Google Play,也不会投放在流行的第三方应用程序市场,我们在对GolfSpy的传播过程进行分析时,发现该恶意应用只出现在托管恶意应用程序的网站上,并通过社交媒体来传播。此外,我们还分析了一些来自于Trend Micro移动应用程序信誉服务的GolfSpy样本。
另外值得注意的是,Bouncing Golf可能与先前报道的移动网络间谍活动相关,研究人员将其称为Domestic Kitten。举例来说,二者代码串的接口类似,针对盗窃的数据也具有类似的格式。
GolfSpy的感染链:PHP大马
GolfSpy的潜在影响
考虑到GolfSpy具有信息窃取的功能,这类恶意软件可以有效地劫持受感染的Android设备。下面是GolfSpy窃取的信息列表:
1、设备帐户;
2、设备中安装的应用程序列表;
3、设备当前正在运行的进程;
4、电池状态;
5、设备默认浏览器的书签/历史记录;
6、呼叫日志和记录;
7、剪贴板内容;
8、联系人(包括VCard格式的联系人);
9、移动运营商信息;
10、存储在SD卡上的文件;
11、设备位置;
12、存储在设备上的图像、音频、视频文件列表;
13、存储卡和内存信息;
14、网络连接信息;
15、传感器信息;
16、短信息;
17、图片。
此外,GolfSpy还具有一个功能,可以连接到远程服务器以获取命令并执行,其中的命令包括搜索、列出文件、删除文件、重命名文件、将文件下载到设备中、从设备中检索文件、截图、安装其他应用程序包(APK)、录制音频和视频、更新恶意软件。
技术分析
重新封装后的应用程序中嵌入了恶意代码,可以在com.golf包中找到。这些重新封装的应用程序覆盖了中东地区常用的通信、新闻、生活方式、阅读和参考类的应用程序。在应用程序中嵌入的GolfSpy恶意软件使用攻击者定义的内部名称进行硬编码。
Bouncing Golf的恶意运营者重新封装的应用程序图标(上方)与原始合法应用程序的图标(左下角)和GolfSpy恶意软件(右下角)的软件包对比:
使用自定义算法编码的GolfSpy配置(右侧)及其解码后版本(左侧):
如上图所示,GolfSpyd的配置(例如:C&C服务器、Secret Keys)由定制的算法进行编码。在恶意软件启动后,GolfSpy将为受影响的设备生成一个唯一的ID,然后以特定的格式收集受害者数据。例如,短信息、联系人列表、位置和帐户,其收集的格式为“%,[],time”(如下图所示)。这些收集到的信息将会被写入到设备上的文件之中。攻击者可以选择要收集的数据类型,这些数据类型是以特定的格式编写。
显示生成UUID的GolfSpy的代码片段:奇热影视
%的取值范围是1-9或a-j,每个值表示从设备窃取的不同类型数据,其对应关系如下:
1:帐户
2:已安装的APP列表
3:运行进程列表
4:电池状态
5:浏览器书签和历史记录
6:通话记录
7:剪贴板
8:通讯录
9:移动运营商信息
a:SD卡上的文件列表
b:位置
c:图像列表
d:音频列表
e:视频列表
f:存储和内存信息
g:连接信息
h:传感器信息
i:短信息
j:VCard格式的通讯录
下面展示了监控和记录设备进行呼叫时所涉及的代码片段。当用户唤醒设备时,恶意软件还会使用设备的前置摄像头进行拍照。
除了收集上述数据之外,间谍软件还会监控用户的电话,并对其进行记录,将录制的文件保存在设备上。GolfSpy使用预先配置的密钥进行简单的XOR操作,以此来加密所有窃取的数据,然后使用HTTP POST方法将其发送到C&C服务器。
左上方的代码片段展示了GolfSpy如何通过注册接收器(Receiver)来监控电话呼叫,由上展示了在设备唤醒时进行的操作,下方展示了如何加密被盗的数据。
恶意软件借助HTTP协议从C&C服务器上检索命令,攻击者可以窃取受感染设备上的特定文件。该命令是一个特殊构造的字符串,使用“<DEL>”作为分隔符,共分为三个部分。第一部分是目标目录,第二部分是用于匹配特定文件的正则表达式,而最后一部分则是ID。
从受感染设备的应用程序窃取特定文件的命令示例(上方)以及GolfSpy的解析和执行命令(下方):
除了HTTP POST方法外,GolfSpy还创建与远程C&C服务器的Socket连接,以便接收和执行其他命令。被窃取的数据也将被加密,并通过Socket连接发送到C&C服务器。在这里使用的加密密钥与通过HTTP发送被窃取数据的密钥不同。
攻击者可以通过Socket连接执行的附加命令,以及用于加密被窃取数据的密钥:
与Bouncing Golf相关的恶意活动
我们监控了与Bouncing Golf相关的C&C活动,发现该恶意活动在撰写本文时已经影响了超过660台设备。鉴于此恶意活动的性质,我们可以理解该活动仅发起了小范围或有限数量的攻击,但我们预测该恶意活动将会扩大影响范围,甚至有可能会出现多样化的态势。目前,大多数受影响的设备都位于中东,且我们发现的许多被窃取的数据都与军事有关,例如军事相关的图像和文件。
Bouncing Golf的恶意运营者也在试图掩盖他们的痕迹。例如,恶意活动中使用的C&C域名的注册者详细联系信息已经被屏蔽。恶意活动中使用的C&C服务器的IP地址似乎也完全没有相互关联性,它们位于许多欧洲国家,例如俄罗斯、法国、荷兰和德国。
尽管目前并没有明确的相关性证据,但我们发现Bouncing Golf似乎与Domestic Kitten有关,因为我们在二者的代码之中发现了相似之处。例如,二者所部署的Android恶意软件都具有相同的代码字符串,用于其解码算法之中。Domestic Kitten窃取的数据遵循与Bouncing Golf类似的格式,每种类型的数据都具有独特的识别字符。同样值得注意的是,这两个恶意活动都会重新封装目标国家用户经常使用的应用程序,例如Telegram、Kik和Plus消息应用。
根据代码片段,我们发现Bouncing Golf和Domestic Kitten使用相同的解码算法(上方),Domestic Kitten恶意软件窃取信息的数据格式与Bouncing Golf相同(中部),并且Bouncing Golf和Domestic Kitten都在命令字符串中使用“<DEL>”作为分隔符(分别位于左下方和右下方)。
正如我们在去年的移动威胁形势中所看到的那样,我们预计今年会有更多针对移动平台的网络间谍活动,因为它无处不在,并且采用已经成熟的技术来吸引安全意识较低的用户。这类威胁可以窃取的信息类型范围也很广,因为它可以让攻击者远程接管受感染的设备。作为用户,应该采用最佳实践方案;作为组织,应该确保其开发的应用程序充分权衡移动便捷性与安全性。
最终用户和企业也可以选用多层移动安全解决方案,例如“移动安全Android”(可在Google Play下载)。同时,Trend Micro的移动安全企业版可以提供设备、合规性、应用程序管理、数据保护、配置保护,并可以保护设备免受漏洞利用的攻击,防止未经授权访问应用程序,检测并阻止恶意软件和欺诈性网站。Trend Micro的移动应用程序信誉服务(MARS)使用领先的沙盒和机器学习技术,防御Android和iOS威胁,保护设备免受恶意软件、0-Day漏洞攻击、已知漏洞攻击、隐私泄露和应用程序漏洞的威胁。
IoC
与Bouncing Golf相关的C&C IP地址和域名:
185[.]183[.]99[.]116
190[.]2[.]130[.]53
194[.]187[.]249[.]134
212[.]8[.]248[.]179
54[.]38[.]51[.]159
82[.]211[.]31[.]181
84[.]234[.]96[.]167
androidsmedia[.]com
androidssystem[.]com
mediadownload[.]space
mediamobilereg[.]com
secandroid[.]com
sharpion[.]org
shileyfetwell[.]com
恶意应用程序名称、版本、内部名称及SHA-256列表: