PhoneSpy恶意软件对韩国公民进行间谍活动

PhoneSpy恶意软件对韩国公民进行间谍活动

我们在去年检测到的许多恶意软件活动都是大规模全球性的,针对几乎不考虑其位置的任何人。最近,我们发现并开始监控 PhoneSpy 背后的活动,PhoneSpy 是一种针对使用 Android 设备的韩国居民的间谍软件。有超过一千名韩国受害者,这个侵入性活动背后的恶意组织可以访问他们设备上的所有数据、通信和服务

与我们介绍的其他利用设备漏洞的间谍软件活动不同,PhoneSpy 隐藏在显眼的地方,将自己伪装成一个常规应用程序,其目的范围从学习瑜伽到看电视和视频,或浏览照片。但实际上,该应用程序正在窃取 Android 手机的数据、消息、图像和远程控制。从受害者设备窃取的数据范围从个人照片到公司通信。受害者向恶意行为者广播他们的私人信息,零迹象表明有什么不对劲。

虽然受害者仅限于韩国,但 PhoneSpy 是恶意应用程序如何掩饰其真实意图的一个例子。当安装在受害者的设备上时,他们会将个人和公司数据置于危险之中。随着移动设备在分布式和远程工作中发挥关键作用,PhoneSpy 等间谍软件活动呈上升趋势也就不足为奇了。

在任何 Android 应用商店中都没有发现 PhoneSpy 的样本,表明攻击者正在使用基于 Web 流量重定向或社会工程的分发方法。

一旦获得控制,攻击者就可以访问摄像头来拍照、录制视频和音频、获取精确的 GPS 位置、查看设备中的图片等等。

Zimperium zLabs 在日常威胁研究中发现了 PhoneSpy 间谍软件应用程序,zLabs 团队在识别出多个相关的恶意应用程序后启动了调查。

披露:由于此间谍软件活动的性质,Zimperium 已通知并向美国和韩国当局提交了所有相关威胁数据。Zimperium 团队还多次向命令和控制服务器的主机报告,为删除恶意服务提供支持。在撰写本文时,PhoneSpy 间谍软件活动仍处于活跃状态。

在这篇博客中,我们将:

  • 涵盖Android间谍软件的功能;
  • 讨论用于收集和存储数据的技术
  • 显示与 C&C 服务器的通信以窃取被盗数据。

PhoneSpy 间谍软件可以做什么?

该移动应用程序通过充当高级远程访问木马 (RAT) 来对 Android 设备构成威胁,该木马接收和执行命令以收集和泄露各种数据并执行各种恶意操作,例如:

  • 已安装应用程序的完整列表
  • 使用网络钓鱼窃取凭据
  • 窃取图像
  • 监控 GPS 位置
  • 窃取短信
  • 窃取手机通讯录
  • 窃取通话记录
  • 实时录制音频
  • 使用前后摄像头实时录制视频
  • 访问相机以使用前后摄像头拍照
  • 使用攻击者控制的文本向攻击者控制的电话号码发送短信
  • 泄露设备信息(IMEI、品牌、设备名称、Android 版本)
  • 通过从设备的抽屉/菜单中隐藏图标来隐藏它的存在

感染后,受害者的移动设备将传输准确的 GPS 位置数据,与命令和控制服务器共享照片和通信、联系人列表以及下载的文档。与我们见过的其他移动间谍软件类似,从这些设备中窃取的数据可用于个人和企业敲诈和间谍活动。然后,恶意行为者可以制作关于受害者的笔记,下载任何被盗材料,并收集其他恶意行为的情报。

PhoneSpy 间谍软件如何工作?

PhoneSpy 间谍软件将自己伪装成各种针对韩语用户的生活方式应用程序。它很可能是通过网络流量重定向或社会工程传播的,因为它尚未在 Android 商店(包括第三方或区域商店)中检测到。安装后,该应用程序请求权限并打开一个仿冒韩国流行消息应用程序“Kakao Talk”登录页面的网络钓鱼页面来窃取凭据。

该应用程序遵循间谍软件的典型行为,要求获得行使其功能的权限。

PhoneSpy恶意软件对韩国公民进行间谍活动
其中一个应用程序请求的权限列表
PhoneSpy恶意软件对韩国公民进行间谍活动
其中一个应用程序请求的权限列表

安装并启动后,该应用程序会显示一个登录页面,并试图窃取“Kakao”的凭据,该凭据可用于通过单点登录功能登录韩国的其他服务。

PhoneSpy恶意软件对韩国公民进行间谍活动
攻击者托管的网络钓鱼页面
PhoneSpy恶意软件对韩国公民进行间谍活动
攻击者托管的网络钓鱼页面
PhoneSpy恶意软件对韩国公民进行间谍活动
攻击者托管的网络钓鱼页面

在大多数发现的应用程序中,应用程序的用户/受害者交互仅限于上述登录,只会收到错误消息。许多应用程序是真实应用程序的外观,没有任何宣传的基于用户的功能。在其他一些情况下,例如作为照片查看器做广告的更简单的应用程序,当 PhoneSpy 间谍软件在后台运行时,该应用程序将像广告一样工作。

PhoneSpy恶意软件对韩国公民进行间谍活动
从远程服务器动态加载内容
PhoneSpy恶意软件对韩国公民进行间谍活动
应用程序显示的虚假画廊网站及其上托管的文件
PhoneSpy恶意软件对韩国公民进行间谍活动
应用程序显示的虚假画廊网站及其上托管的文件
PhoneSpy恶意软件对韩国公民进行间谍活动
应用程序显示的虚假画廊网站及其上托管的文件
PhoneSpy恶意软件对韩国公民进行间谍活动
应用程序显示的虚假画廊网站及其上托管的文件

当这些操作在前台进行时,间谍软件会滥用其权限并充当远程访问特洛伊木马程序,从而使威胁参与者可以访问该设备。间谍软件通过仅上传上次上传后创建的最新数据来确保避免数据冗余,如图所示。

PhoneSpy恶意软件对韩国公民进行间谍活动
 SMS 数据收集和泄露到 C&C 服务器

命令和控制服务器存储所有泄露的数据,并与受感染设备保持通信通道以发送命令。

命令表和相应的动作如表 1 所示。

命令动作
0上传手机信息,如Phone.No、IMEI、Android版本和型号名称
1上传整个联系人列表
2删除与电话号码匹配的联系人
3上传设备中存储的所有短信
4上传自上次上传以来的最新通话记录
5上传SD卡中的所有照片
6从 SD 卡上传所有视频
7获取实时 GPS 位置
8根据 C&C 服务器的指示,向包含内容的电话号码发送 SMS
9使用前置摄像头拍照并上传到 C&C 服务器
10使用后置摄像头拍照并上传到 C&C 服务器
11使用前置摄像头的实时视频流
12使用后置摄像头的实时视频流
13设置实时录音的持续时间
14上传录制的音频文件
16添加呼叫转移
17移除呼叫转移
18更新呼叫转移
21按照 C&C 服务器的指示删除电话号码的屏蔽名单
22按照 C&C 服务器的指示添加电话号码的阻止列表
24收集已安装的应用程序列表,包括图标、应用程序版本、包名称和更新日期。
25卸载与包名匹配的应用程序
28从 C&C 服务器发送的链接下载 apk 并安装应用程序作为更新
30按照 C&C 服务器的指示插入带有姓名和电话号码的联系人
31删除存储在受感染设备中的所有短信
32删除存储在受感染设备中的所有通话记录
33打开用于通过网络钓鱼获取凭据的 C&C 服务器发送的 URL。
表 1:支持的命令和相关操作

命令和控制服务器具有基于 Web 的界面,并通过使用凭据的身份验证机制进行保护,如图所示。

PhoneSpy恶意软件对韩国公民进行间谍活动
C&C 服务器的登录面板

该应用程序能够卸载任何用户安装的应用程序,包括移动安全应用程序。恶意行为者可以实时获得设备的精确位置,而受害者都不知道。间谍软件还使威胁参与者能够使用网络钓鱼页面来获取 Facebook、Instagram、Google 和 Kakao Talk 的凭据,就像图 13-15 中所示的网络钓鱼页面一样。攻击者使用命令“33”向设备发送网络钓鱼 URL,PhoneSpy 加载页面。输入到表单中的任何凭据都将发送回命令和控制服务器。

针对 Facebook、Google 和 Instagram 的钓鱼页面:

PhoneSpy恶意软件对韩国公民进行间谍活动
针对 Facebook的钓鱼页面
PhoneSpy恶意软件对韩国公民进行间谍活动
针对Google的钓鱼页面
PhoneSpy恶意软件对韩国公民进行间谍活动
针对 Instagram 的钓鱼页面

一些间谍软件应用程序的图标集合

PhoneSpy恶意软件对韩国公民进行间谍活动
一些间谍软件应用程序的图标集合

PhoneSpy 间谍软件活动的受害者

迄今为止,Zimperium zLabs 移动威胁研究团队确定了 23 个针对韩国公民的应用程序,该间谍软件活动感染了数千名受害者。这些恶意 Android 应用程序设计为在后台静默运行,不断监视受害者而不会引起任何怀疑。我们相信负责 PhoneSpy 的恶意行为者已经收集了大量有关受害者的个人和公司信息,包括私人通信和照片。

尽管成千上万的韩国受害者成为间谍软件活动的牺牲品,但尚不清楚他们之间是否有任何联系。但是,由于能够代表受害者下载联系人列表和发送 SMS 消息,恶意行为者很有可能将当前受害者的连接作为网络钓鱼链接的目标。

PhoneSpy恶意软件对韩国公民进行间谍活动
受害者地图 

Zimperium 与 PhoneSpy 间谍软件

Zimperium zIPS 客户可以通过我们的设备上z9 移动威胁防御机器学习引擎抵御 PhoneSpy 。

Zimperium 设备网络钓鱼分类器使用我们基于机器学习的技术从一开始就检测来自域https[:]//acd.kcpro.ga 的流量为恶意流量,阻止所有流量并防止攻击者有效控制任何受感染的设备。

还使用 Zimperium 的应用程序分析平台 z3A 对发现的所有受感染和恶意应用程序进行了审查。所有这些应用程序都向最终用户返回了高隐私和安全风险的报告。Zimperium 管理员可以创建风险策略,防止用户安装 PhoneSpy 等高风险应用程序。

通过我们的 z3A 服务分析 PhoneSpy 感染的应用程序确定的主要隐私风险是:

  • 访问 SMS 消息、相机、通话记录、联系人和位置等。
  • 录制音频、视频和拨打电话的功能。
  • 使用 MQTT 库,可用于跟踪用户。
  • 访问设备信息,例如电话号码、设备 ID,如果通话处于活动状态(以及通话时使用的电话号码)。
  • 篡改电话,可以修改正在拨打的电话号码。
  • 对 SD 卡的读/写访问。
  • 公开的 API 密钥。

关键 我们对受PhoneSpy 感染的应用程序的z3A 服务分析确定的主要隐私风险是:

  • 未分配权限的公开服务。
  • 启用 WebView,可用于执行 JavaScript 代码。
  • z9 引擎检测到恶意软件。
  • 该应用程序是使用调试标志构建的。
  • 使用系统级权限和可访问性权限。
  • 可以修改WiFi连接。
  • 具有执行覆盖攻击的能力(银行木马使用的主要技术之一)。

为确保您的 Android 用户免受 PhoneSpy 间谍软件的侵害,我们建议您进行快速风险评估。任何带有 PhoneSpy 的应用程序都将在设备和 zConsole 中被标记为可疑应用程序威胁。管理员还可以查看哪些应用程序被侧载到设备上,从而增加了移动攻击面并使数据和用户处于危险之中。

PhoneSpy 间谍软件对全球企业的影响

PhoneSpy Android 间谍软件活动使企业面临的风险与消费者一样多,甚至更多。自带设备 (BYOD) 政策的兴起模糊了工作数据和个人数据之间的界限,对企业连接设备安全性的任何妥协都会使所有企业数据面临风险。PhoneSpy 等间谍软件能够在企业或最终用户不知情的情况下读取企业消息、安装受损版本的企业应用程序以及下载本地存储的数据(如文档和照片)。在面对面会议期间打开移动摄像头和麦克风的功能对企业来说也是一个高风险。这些功能与 PhoneSpy 的通用框架和方法相结合,会影响企业的安全性,泄露关键和私有数据,并导致客户、研究和数据的丢失。

侵害指标(IOCs)

C&C 服务器

1.234.82[.]23
1.234.82[.]31
175.126.146[.]147
https[:]//acd.kcpro.ga

SHA-256 哈希值和应用程序名称

1b762680c64d851151a829e2679c68b4ea19aa825b6fe3866a191bf3d30fac70Videos
4afbbc8247f0622bb7f40beeaff38083fe1514233c0e545b4ac11e17896548a2Picture
7ca71565ac1f57725606fd92033928fbd727b810cd507f9d7b0ca2c89853abcfSecret TV
45d26f6d4a98ea352aa4411b861ddbee388546326567ce893124bbc8a0d1817b영상 – videos
84d3e71dc27f7adfb9c6ac628dd240498059b82ec211c99e8ec63e3bc26240baDaily Yoga
95de5f5533e6f9a7562e50b4f68bd5ce71227f52a1a9c15ee734cdfb59b27f1d갤러리 – Gallery
208d68c431d58e6d311ae0f2574fab85a1205fc1597e10690116bf406eb5499cVera
3125ba3f8ad308f93ecc2e167d4f4ecfccc6a1212795ac615e593dceff1ca795동영상 – Videos
4687ef5f6b9398f2bf3ac84011afce3979145a42f29d35e8fd3ad1b086699952갤러리 – Gallery
58195ad6606265c2d5d34f9b17d81daafc0a65551d8b83d9669a7e96ede786c1내꺼사진 – My Picture
70176c319aa4ca24c4cbfdf2b80a8d5ca430fc8370e2515b79f3c3c52ed58dc1음성지원 – Voice Support
1568520923f992612163a69d074580885deec03f2727824407f0371cc295aec5Gallery
af5d676ceecd28c83b8962fc5db012cdada7812cddf856ae63f735a3efd695b7갤러리 – Gallery
b3132e4cd475c381f2ec384b9055ee11ae80b529dcc78f03629106e2d12a50f6Vera
b3333e2542a8d407d7ed6a2f0930d4372a84c9f95478d72ba1d6999c1c4ce74f클라우드 – Cloud
beeb1010ca571221b0aa8604f1bf078331b06e378384f8651552b13aa20c9389야동 – Porn
c6793fcb9c647d0439a5bbeec46b5e24afc1e55b8e980669b3c1726d6556c72aVera
cf03a179b2b8d6a85a6ad3e5cd7405fe9a99c6ce89c6635d8c5d34bc9889b2baGallery
d4b6a0055fbaec51c6a2d5edd29eec7768a27b40a6da94223ded28df3726487d1004 Yoga
d797bf2b4fd7a2cd38da819996e57b39b89ad0e65a0d9633ea332d8234368ce3갤러리 – Gallery
d4428d5eb4f746b3d136d4dbeb3907c82a9ac7fa18efd037d616f2f11dc235ac한나TV – Hannah TV
ef467f2389063e044237587ef12f8b0ae37d5b31c5b4efbf0928dfe5b648ed5aGallery
ef29420420802265d3958e05c33badad17d982309bd6f877d15475e64c793692보안카메라 – Security Camera

关于 Zimperium

Zimperium 提供唯一专为企业环境构建的移动安全平台。凭借基于机器学习的保护和一个单一平台,可以保护从应用程序到端点的所有内容,Zimperium 是提供设备上移动威胁防御以保护不断发展和发展的移动环境的唯一解决方案。如需更多信息或安排演示,请立即联系我们[雨苁:不知道zimperium,总该知道zanti吧,zanti就是zimperium出品]

PhoneSpy恶意软件对韩国公民进行间谍活动

from

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注