在跟踪Earth Empura(也称为POISON CARP / Evil Eye)时,发现未被记录的Android间谍软件ActionSpy(AndroidOS_ActionSpy.HRX)。
在2020年第一季度观察到Earth Empusa针对土耳其用户的攻击活动,随后扩大到台湾。该组织使用水坑攻击,通过网络钓鱼对Android和iOS移动设备传播其恶意软件。在2020年4月发现网络钓鱼页面伪装成Android视频应用程序下载页面。假冒页面是Earth Empusa从第三方网上商店复制建立的,页面上的恶意脚本托管在属于该组织的域上。
ActionSpy自2017年以来就已经存在,攻击者可从受感染设备中收集信息。它还可以从即时消息应用程序收集聊天日志。
网络钓鱼攻击
Earth Empusa网络钓鱼页面使用新闻页面作为诱骗,利用社会工程学手段诱骗其目标访问钓鱼页面。在2020年3月发现了一些新闻网页,这些新闻网页都注入了脚本,加载跨站点脚本框架BeEF。
在2020年4月发现了另一个网上诱骗页面,该页面是从第三方商店复制而来,并注入脚本来加载ScanBox和BeEF框架。 该网络钓鱼页面邀请用户下载Android视频应用,该页面是由Earth Empusa创建,BeEF框架在该组织的域上运行。 下载分析发现该应用程序是一个未记录的Android间谍软件ActionSpy。
ActionSpy分析
该恶意软件冒充合法的视频应用程序Ekran。 该恶意应用与原始应用外观和功能相同。 它还受Bangcle保护,可以逃避静态分析和检测。
合法的Ekran APK文件嵌入在ActionSpy资产目录中,并在首次启动ActionSpy时VirtualApp准备就绪后安装在虚拟环境中。
ActionSpy的配置(包括其C&C服务器地址)已由DES加密,这使得ActionSpy难以静态分析。
每隔30秒,ActionSpy将收集基本设备信息,例如IMEI,电话号码,制造商,电池状态等,并将其作为心跳请求发送到C&C服务器,服务器会返回在受感染设备上执行的命令。 C&C与ActionSpy之间的所有通信流量均由RSA加密并通过HTTP传输。
权限分析
通常第三方应用无法访问Android文件,ActionSpy在没有root权限的情况下无法直接窃取聊天日志文件。ActionSpy采用间接方法:提示用户打开其辅助功能服务,提供内存垃圾清理服务。
用户启用辅助功能服务后,ActionSpy将监视设备上的辅助功能事件。当用户界面发生变化(例如单击按钮,输入文本或更改视图)时,收到辅助功能事件时,ActionSpy将检查事件类型是VIEW_SCROLLED还是WINDOW_CONTENT_CHANGED,然后检查事件是否来自目标应用程序。 如果满足上述所有条件,ActionSpy会分析当前活动内容并提取昵称,聊天内容和聊天时间之类的信息。 所有聊天信息都将格式化并存储到本地SQLite数据库中。 收到“ wxrecord”命令后,ActionSpy将在数据库中收集聊天记录并将其转换为JSON格式,然后发送到C&C服务器。
根据其证书签署时间(2017-07-10),ActionSpy已存在至少三年。
针对IOS的水坑攻击
Earth Empusa还利用水坑攻击来破坏iOS设备,攻击者将恶意脚本注入到目标可能会访问的网站上,已发现两种注入网站方式:
1、ScanBox框架。该框架可以从客户端环境中收集操作系统,浏览器和浏览器插件的配置文件为下一阶段的攻击做准备。
2、漏洞利用链框架,它利用了iOS设备上的漏洞。当受害者访问该框架时,它会检查HTTP请求的User-Agent标头,以确定受害者设备上的iOS版本,并利用漏洞代码进行回复。如果User-Agent不属于任何目标iOS版本,该框架将不会提供任何有效负载。
在2020年第一季度,漏洞利用链框架进行了升级,可以对iOS 12.3、12.3.1和12.3.2版本进行破坏。
自2020年初以来已经在多个有关站点上观察到了这些注入,还发现了土耳其的新闻政党网站受到相同攻击。2020年3月在大学网站和台湾旅行社网站上发现了相同的注入,Earth Empusa正在扩大其目标范围。
建议iOS用户保持设备更新,建议Android用户仅从受信任的站点(例如Google Play)安装应用程序,避免恶意应用程序。
IOCs
MITRE ATT&CK
参考来源