Około lipca zeszłego roku ponad 100 żołnierzy izra elskich zostało zaatakowanych przez przebiegłych cyberprzestępców. Podczas ataku włamano się do ich urządzeń, a następnie przesłano wyłuskane dane do serwera kontroli cyberprzestępców. Ponadto, na zaatakowane urządzenia pobrano aktualizacje trojana, które pozwoliły osobom atakującym rozszerzyć swoje możliwości. Operacja ta nadal była aktywna w momencie tworzenia tego postu, a ataki zgłaszano jeszcze w lutym 2017 roku.  

Celem tej kampanii, która według ekspertów, nadal znajduje się na początkowym etapie, są urządzenia z systemem Android OS. Po zainfekowaniu urządzenia rozpoczyna się proces wyrafinowanego gromadzenia danych poprzez uzyskanie dostępu do możliwości audio i wideo telefonu, funkcji SMS i lokalizacji. 

Kampania opiera się w dużym stopniu na socjotechnice, wykorzystując portale społecznościowe w celu nakłonienia żołnierzy do ujawnienia informacji poufnych i pobrania szkodliwych aplikacji. 

Cyberprzestępcy, charakteryzujący się stosunkowo niskim poziomem technicznym oraz szerokim wykorzystywaniem socjotechniki, atakują tylko żołnierzy Sił Obronnych Izraela.   

Korpus C4I oraz Departament bezpieczeństwa informacyjnego Sił Obronnych Izraela, wraz z badaczami z Kaspersky Lab, uzyskał listę ofiar, wśród których znajdują się żołnierze Sił Obronnych Izraela różnych stopni, służący gównie w rejonie Strefy Gazy.

Schemat ataku

Operacja jest przeprowadzana według tego samego schematu infekcji dla różnych ofiar:

Rysunek 1: Schemat ataku w ramach kampanii

Socjotechnika

Ugrupowanie cyberprzestępcze stosuje socjotechnikę w celu nakłonienia celów do zainstalowania szkodliwej aplikacji, nieustannie próbując zdobyć poufne informacje przy pomocy portali społecznościowych. Zaobserwowaliśmy sporą aktywność ugrupowania na Facebook Messenger. Większość awatarów (wirtualnych uczestników na etapie socjotechniki) wabi cele za pomocą podtekstu seksualnego, np. prosząc potencjalną ofiarę o wysłanie niedwuznacznych zdjęć, przesyłając w zamian sfabrykowane fotki nastolatek. Awatary udają, że pochodzą z różnych państw, takich jak Kanada, Niemcy, Szwajcaria i inne.       

Dropper

Po tym, jak ofiara pobierze plik APK ze szkodliwego adresu URL, osoba atakująca oczekuje od niej, że zainstaluje pakiet ręcznie. Jak widać na poniższym zrzucie ekranu, dropper żąda typowych zezwoleń użytkownika.

Rysunek 2: Zezwolenia dla droppera po zainstalowaniu się na urządzeniu mobilnym ofiary

Kluczowe funkcje

Dropper współdziała z serwerem konfiguracyjnym, który wykorzystuje kwerendy w celu pobrania szkodliwej funkcji najbardziej odpowiedniej dla danego urządzenia.

• Downloader oraz licznik alarmowy głównej funkcji szkodliwej
• Mechanizm aktualizacji szkodliwej funkcji
• Spersonalizowana szkodliwa funkcja – dropper wysyła listę zainstalowanych aplikacji i na tej podstawie otrzymuje pakiet szkodliwych funkcji
• Zaciemnianie – pakiet droppera jest zaciemniany przy pomocy ProGuard, który stanowi narzędzie otwartego źródła służące do zaciemniania kodu oraz optymalizator Javy, obserwowanego również w dropperze LoveSongs.    

Protokoły sieciowe

Protokół sieciowy do komunikacji pomiędzy dropperem a serwerem konfiguracji opiera się na żądaniach HTTP POST. Następujące serwery implementują RESTful API:   

LoveSongs – http://endpointup[.]com/update/upfolder/updatefun.php

YeeCall, WowoMessanger – http://droidback[.]com/pockemon/squirtle/functions.php

Rysunek 3: Komunikacja z serwerem C&C za pośrednictwem HTTP

Większość komunikacji z serwerem ma postać czystego tekstu, z wyjątkiem określonych poleceń, które są zaszyfrowane przy pomocy zakodowanego na sztywno klucza AES-128  

Rysunek 4: Przechwytywnie pakietów WowoMessanger REST-API POST

Rysunek 5: Fałszywa aplikacja WowoMessanger – przepływ logiki

Wraz ze sprawdzaniem obecności ID dropper wysyła listę aplikacji zainstalowanych na urządzeniu – jeśli nie zrobił tego wcześniej.

Przepływ między różnymi wariantami droppera jest podobny z niewielkimi zmianami. Jeden wariant podszywa się pod odtwarzacz YouTube, inne stanowią aplikacje chatowe:

LoveSongs posiada funkcjonalność odtwarzacza YouTube, podczas gdy WowoMessanger nie posiada żadnej legalnej funkcjonalności; po pierwszym uruchomieniu usuwa swoją ikonkę.  

Szkodliwa funkcja

Szkodliwa funkcja jest instalowana po tym, jak jeden ze wspomnianych wyżej dropperów zostanie pobrany i wykonany na urządzeniu ofiary. Jedyną szkodliwą funkcją, jaką widzieliśmy do tej pory, jest “WhatsApp_Update”.    

Szkodliwa funkcja posiada dwa mechanizmy gromadzenia danych:

• Wykonywanie poleceń „na żądanie” – polecenia ręczne inicjowane przez operatora
• Zaplanowany proces – zaplanowane zadania, które okresowo gromadzą informacje z różnych źródeł.  

Większość zgromadzonych danych zostanie wysłana tylko wtedy, gdy będzie dostępna sieć WI-FI.

Polecenia C&C

Funkcja szkodliwa wykorzystuje protokół WebSocket, który zapewnia osobie atakującej interfejs w czasie rzeczywistym w celu wysyłania poleceń do szkodliwej funkcji w sposób przypominający ‘reverse shell’. Niektóre z poleceń nie zostały jeszcze zaimplementowane (jak pokazano w tabeli poniżej). Polecenia te zapewniają operatorowi podstawowe, ale niebezpieczne możliwości RAT:    

• Zbieraj ogólne informacje dotyczące urządzenia takie jak operator sieci, lokalizacja GPS, IMEI itd.
• Otwórz przeglądarkę i wejdź na wybrany adres URL
• Czytaj i wysyłaj wiadomości SMS oraz uzyskuj dostęp do kontaktów
• Podsłuchuj w określonym czasie i okresie
• Rób zdjęcia (aparatem) lub zrzuty ekranu
• Nagrywaj film i dźwięk.

*Zaimplementowane polecenia zaznaczno pogrubioną czcionką

Zaplanowany proces

Oprócz poleceń C&C szkodliwa funkcja gromadzi okresowo dane przy pomocy różnych API Androida. Domyślny przedział czasowy wynosi 30 sekund. W procesie zbierane są następujące dane: 

• Ogólne dane dotyczące urządzenia
• Wiadomości SMS, baza danych WhatsApp wraz z kluczem szyfrowania (wymaga zezwoleń na poziomie administratora – jeszcze nie zaimplementowano)
• Historia surfowania i wyszukiwania wraz z zakładkami
• Znalezione przechowywane dokumenty i archiwa (< 2MB) (doc, docx, ppt, rar itd.)
• Lista kontaktów i rejestry połączeń
• Rejestarcja połączeń i podsłuchiwanie
• Aktualizowanie się

Osoby atakujące zaimplementowały całą szkodliwą logikę bez źródeł natywnych czy osób trzecich. Logika automatycznej funkcji rejestrowania połączeń jest całkowicie implementowana przy użyciu API Androida.   

Rysunek 6: Implementacja rejestracji połączeń w WhatsApp_update

Wnioski

Siły Obronne Izraela, które prowadziły badania wraz z badaczami z Kaspersky Lab, stwierdziły, że jest to zaledwie etap początkowy operacji. Ponadto, jest to z definicji atak ukierunkowany na Siły Obronne Izraela mający na celu uzyskanie danych dotyczących rozmieszczenia sił lądowych, taktyk i sprzętu wykorzystywanych przez to wojsko oraz gromadzenie informacji wywiadowczych w czasie rzeczywistym.  

Badacze z zespołu GReAT Kaspersky Lab zdradzą więcej zakulisowych szczegółów dotyczących tej operacji podczas zbliżającego się Szczytu Analityków Bezpieczeństwa.

Oznaki infekcji

Nazwy domen i hashe APK

androidbak[.]com
droidback[.]com
endpointup[.]com
siteanalysto[.]com
goodydaddy[.]com
10f27d243adb082ce0f842c7a4a3784b01f7248e
b8237782486a26d5397b75eeea7354a777bff63a
09c3af7b0a6957d5c7c80f67ab3b9cd8bef88813
9b923303f580c999f0fdc25cad600dd3550fe4e0
0b58c883efe44ff010fl703db00c9ff4645b59df
0a5dc47b06de545d8236d70efee801ca573115e7
782a0