Các nhà nghiên cứu của Lookout đã xác định hơn một nghìn ứng dụng phần mềm gián điệp liên quan đến một diễn viên đe dọa có thể có trụ sở tại Irac. Thuộc gia đình "SonicSpy", những mẫu này đã được triển khai tích cực từ tháng 2 năm 2017, một số khác đang tìm cách vào Cửa hàng Google Play. Google đã gỡ bỏ ít nhất một trong số các ứng dụng sau khi Lookout thông báo cho công ty.
Chúng tôi đã phát hiện ra mối đe dọa này sau khi phân tích phân tích đám mây Bảo mật Cảnh báo xác định khả năng phần mềm gián điệp, gắn cờ ứng dụng cho nhóm nghiên cứu của chúng tôi để xem xét thủ công.
Tất cả khách hàng Lookout đều được bảo vệ khỏi mối đe dọa này.
Những gì nó làm
Mẫu SonicSpy gần đây nhất được tìm thấy trên Cửa hàng Play, được gọi là Soniac, được bán như một ứng dụng nhắn tin. Trong khi Soniac cung cấp chức năng này thông qua một phiên bản tùy chỉnh của Telegram ứng dụng truyền thông, nó cũng chứa các khả năng độc hại cung cấp cho một kẻ tấn công với sự kiểm soát đáng kể đối với một thiết bị đích.
Điều này bao gồm khả năng ghi âm bằng âm thanh, chụp ảnh bằng máy ảnh, thực hiện cuộc gọi đi, gửi tin nhắn văn bản cho kẻ tấn công vào các số đã xác định và truy xuất thông tin như nhật ký cuộc gọi, danh bạ, và thông tin về điểm truy cập Wi-Fi.
Gia đình SonicSpy tổng thể hỗ trợ 73 hướng dẫn từ xa khác nhau, bao gồm cả những người được thấy trong trường hợp Soniac.
Sau khi thực hiện lần đầu, SonicSpy sẽ gỡ bỏ biểu tượng của nó để ẩn mình khỏi nạn nhân, thiết lập một kết nối với cơ sở hạ tầng C2 (arshad93.ddns [.] Net: 2222), và cố gắng cài đặt phiên bản Telegram tùy chỉnh của riêng nó được lưu trữ trong / Raw và có tiêu đề su.apk.
Xác định chức năng
Kiểm tra chức năng độc hại của SonicSpy là một quá trình tương đối thẳng tiến do cách truyền thông máy chủ khách hàng đã được triển khai và có thể được xác nhận nhanh chóng thông qua ngộ độc DNS và chạy netcat.
Running netcat on port 2222 where the DNS record for arshad93.ddns[.]net has been locally poisoned allows us to interact directly with an infected device. Via the A0 command it is possible to retrieve basic device information, followed by call logs (A1), wifi access points (A7), clipboard data (A20), record surrounding audio (A29), before stopping audio recording and retrieving the audio as base64 encoded data (A30).
Tiềm năng phân bổ
Các mẫu phân tích được tìm thấy có nhiều điểm tương đồng với SpyNote, một nhóm malware khác được báo cáo lần đầu tiên vào giữa năm 2016. Có nhiều chỉ số cho thấy cùng một nam diễn viên đằng sau sự phát triển của cả hai. Ví dụ, cả hai gia đình đều có chung sự giống nhau về mã, thường xuyên sử dụng dịch vụ DNS động và chạy trên cổng 2222 không chuẩn. Trong trường hợp SpyNote, kẻ tấn công đã sử dụng ứng dụng máy tính để bàn tự tạo để đưa mã độc hại vào các ứng dụng cụ thể để nạn nhân vẫn có thể tương tác với chức năng hợp pháp của các ứng dụng bị tấn công. Do sự ổn định của các ứng dụng SonicSpy, có vẻ như các diễn viên đằng sau nó đang sử dụng một quá trình tự động xây dựng tương tự, tuy nhiên công cụ desktop của họ vẫn chưa được hồi phục vào thời điểm này.
Tài khoản phía sau Soniac, iraqwebservice, trước đây cũng đã đăng hai mẫu SonicSpy khác vào Cửa hàng Play, mặc dù cả hai mẫu không còn tồn tại nữa. Không rõ liệu chúng có bị xóa như là kết quả trực tiếp của Google hay hành động đằng sau SonicSpy đã loại bỏ chúng để tránh sự phát hiện càng lâu càng tốt. Cửa hàng Cached Play Store của các ứng dụng này, Hulk Messenger và Troy Chat, xác nhận rằng chúng đã từng được phát hành và phân tích của chúng tôi cho thấy chúng có chức năng tương tự như các mẫu SonicSpy khác.
Bất cứ ai truy cập vào thông tin nhạy cảm trên thiết bị di động của họ cần được quan tâm về SonicSpy. Các diễn viên đằng sau gia đình này đã chứng minh rằng họ có khả năng nhận phần mềm gián điệp của họ vào cửa hàng ứng dụng chính thức và khi nó được tích cực phát triển, và quá trình xây dựng của nó được tự động, có thể SonicSpy sẽ lại tiếp tục trong tương lai.
SHA-1s
- 96548a4054aa1c798a8318302ab416cdbbedd5bb
- 10d19575a7c34b416366283a2e84533c9b9c06dc
- 5a341606fc391d669f1c01c5dd7e93fc49dca0d7
- 08f85a19aa4fa7baa5be5ee957a6daa147e96df8
- ca620dc143d41662181d638f54a6d38c02e7ab05
- 966dfc62d7b89ee41422550cd2c4d6de10ef1f8f
- 9d2aa0bcecaf564eb06238086c53ce56e8ca1bf4
- 3f33367040dc423ff97aab7196aa6748ff11cc45
- ea9079c800cf8d77cccdc393de1d7366b00ba7ec
- a8b3013c4998196672967028f5612f73c0be23ef
- 82bc64931d5e86d02792685141da0cfc5fcf147a
- 275b55b2addb08912d973a6e181fd70e6bbe5d90
- 29967d4afd2e11beb85e2f7eec5ce4c1778026a2
- 3528e219fd190445a9918065289738175d311def
- b22f7611916ff2c57514bc40e59924268fb64452
- 7bd0f90e75941939671e430f960674c566f7167c
- ed84300fb1ba7feef63351e49ddd2930f865bea9
- 9f69841f38501e4e527d4563d97838c21006083c
- 9a6b7418729d0b6dc22e8e4925006c6567b303a9
- 515453379a26d19c49e60edb8affd801b6001234
