اكتشفنا عملية جديدة ضمن حملة تجسس إلكترونية طويلة الأمد في الشرق الأوسط. من خلال استهداف مستخدمي Android عبر تطبيق “دردشة الترحيب” الضار ، يبدو أن العملية تحتوي على روابط إلى البرامج الضارة المسماة BadPatch ، والتي تربطها MITER بمجموعة الجهات الفاعلة في مجال التهديد في قراصنة غزة المعروفة أيضًا باسم Molerats.
يظهر تحليلنا أن تطبيق Welcome Chat يسمح بالتجسس على ضحاياه. ومع ذلك ، فهو ليس برنامج تجسس بسيط. Welcome Chat هو تطبيق دردشة فعال يوفر الوظائف الموعودة إلى جانب سعة التجسس الخفية.
وجدنا أن برامج التجسس هذه يتم الإعلان عنها للمستخدمين المتعطشين للدردشة (هذه التطبيقات محظورة في بعض البلدان في منطقة الشرق الأوسط) على موقع ويب مخصص (انظر الشكل 1). حقيقة أن الموقع باللغة العربية يتوافق مع استهداف الحملة بأكملها نعتقد أن هذه العملية تنتمي إليها. تم تسجيل النطاق في أكتوبر 2019 ؛ لم نتمكن من تحديد موعد إطلاق الموقع.

يروّج موقع الويب الضار لتطبيق Welcome Chat ، مدّعيًا أنه منصة دردشة آمنة ومتوفرة في متجر Google Play. كلتا الادعاءات كاذبة. فيما يتعلق بالادعاء “الآمن” ، ليس هناك شيء أبعد عن الحقيقة. ليست أداة “دردشة الترحيب” أداة تجسس فقط ؛ علاوة على ذلك ، ترك مشغلوها البيانات التي تم جمعها من ضحاياهم متاحة مجانًا على الإنترنت. ولم يكن التطبيق متاحًا أبدًا في متجر تطبيقات Android الرسمي.

الوظيفة / التحليل
بمجرد أن يقوم المستخدم بتنزيل التطبيق ، فإنه يحتاج إلى تفعيل الإعداد “السماح بتثبيت التطبيقات من مصادر غير معروفة” حيث لم يتم تنزيل التطبيق من متجر Play.
بعد التثبيت ، سيطلب التطبيق الضار من الضحية السماح بأذونات مثل إرسال رسائل SMS وعرضها ، والوصول إلى الملفات ، وتسجيل الصوت ، والوصول إلى جهات الاتصال وموقع الجهاز. قد تجعل مثل هذه القائمة الواسعة من الأذونات المتداخلة الضحايا في العادة مشبوهة – ولكن مع تطبيق المراسلة ، من الطبيعي أن يحتاجوا إلى التطبيق لتقديم الوظيفة الموعودة.

من أجل أن تكون قادرًا على التواصل مع المستخدمين الآخرين لهذا التطبيق ، يحتاج المستخدم إلى التسجيل وإنشاء حساب شخصي (انظر الشكل 4).

فور تلقي هذه الأذونات ، يرسل موقع Welcome Chat معلومات حول الجهاز إلى C&C وهو جاهز لتلقي الأوامر. وهي مصممة للاتصال بخادم C&C كل خمس دقائق.
بالإضافة إلى وظائف التجسس الأساسية الخاصة به – مراقبة اتصالات الدردشة لمستخدميه – يمكن لتطبيق Welcome Chat تنفيذ الإجراءات الخبيثة التالية: طرد الرسائل النصية القصيرة المرسلة والمستلمة ، وسجل سجل المكالمات ، وقائمة جهات الاتصال ، وصور المستخدم ، والمكالمات الهاتفية المسجلة ، ونظام تحديد المواقع العالمي (GPS) موقع الجهاز ومعلومات الجهاز.
تطبيق محادثة طروادة أو طورته المهاجم؟
ينشأ سؤال مثير للاهتمام مع تطبيقات طروادة الوظيفية: هل التطبيق عبارة عن إصدار مهاجم من Trojanized من تطبيق نظيف ، أم أن المهاجمين طوروا تطبيقًا ضارًا من البداية؟
في كلتا الحالتين ، من السهل على المهاجمين التجسس على الرسائل المتبادلة داخل التطبيق كما لو كان لديهم – بطبيعة الحال – مفاتيح التفويض لقاعدة بيانات المستخدم.
على الرغم من كون الخيار الأول نموذجيًا لتطبيقات Trojanized ، نعتقد أنه في هذه الحالة بالذات ، فإن التفسير الثاني أكثر احتمالًا.
عادةً ، يتم إنشاء تطبيقات Trojanized عبر عملية إلحاق الوظائف الضارة بتطبيق شرعي. يجد الأشرار تنزيل تطبيق مناسب وتنزيله. بعد فكها ، يضيفون الوظائف الخبيثة ويعيدون ترجمة التطبيق الخبيث الذي لا يزال يعمل حتى الآن لنشره بين جمهورهم المطلوب.
توجد علامة استفهام رئيسية مع هذا الخيار: حتى يومنا هذا ، لم نتمكن من اكتشاف أي نسخة نظيفة من تطبيق Welcome Chat. لا يمكن العثور عليه فقط في أي من أسواق Android الموجودة لدينا على الرادار الخاص بنا ؛ استنادًا إلى خوارزميات المطابقة الثنائية في أنظمة تصنيف العينات لدينا ، لم نعثر على أي تطبيق نظيف بنفس وظيفة الدردشة هذه. من المثير للاهتمام في هذا الصدد أنه تم تحميل نسخة نظيفة من Welcome Chat ، بدون وظيفة التجسس ، إلى VirusTotal في منتصف فبراير 2020 (التجزئة: 757bd41d5fa99e19200cee59a3fd1577741ccd82). تم إرسال النسخة الخبيثة لأول مرة إلى VirusTotal قبل أسبوع.
هذا يقودنا إلى الاعتقاد بأن المهاجمين طوروا تطبيق الدردشة الخبيث بأنفسهم. إنشاء تطبيق دردشة لنظام Android ليس بالأمر الصعب ؛ هناك العديد من الدروس التفصيلية على الإنترنت. باستخدام هذا النهج ، يتمتع المهاجمون بتحكم أفضل في توافق الوظائف الضارة للتطبيق مع وظائفه الشرعية ، حتى يتمكنوا من التأكد من أن تطبيق الدردشة سيعمل.

في بعض الحالات ، يكون رمز المصدر المفتوح المنسوخ قديمًا جدًا – انظر الجدول 1. كشرح محتمل ، تأتي جميع الأمثلة المدرجة في أعلى القائمة بين نتائج googling البسيطة للوظائف ذات الصلة.
الجدول 1. أصول الكود الخبيث
العمر (سنوات) | مصدر | الوظيفة الخاصة بالكود |
8 | مصدر الكود, GitHub | تسجيل المكالمات |
6 | مصدر الكود, GitHub | سرقة الرسائل |
5 | مصدر الكود, Blogspot | إحداثيات خرائط جوجل |
8 | مصدر الكود, GitHub | تتبع الاحداثيات |
5 | مصدر الكود, GitHub | تتبع الاحداثيات ايضا |
تسرب بيانات المستخدم
لم يتم إنشاء تطبيق Welcome Chat ، بما في ذلك بنيته التحتية ، مع وضع الأمان في الاعتبار. يحمّل التطبيق جميع بيانات المستخدم المسروقة إلى الخادم الذي يتحكم فيه المهاجم عبر HTTP غير الآمن.
البيانات المرسلة غير مشفرة وبسبب ذلك ، فهي ليست متاحة فقط للمهاجم ، بل يمكن الوصول إليها مجانًا لأي شخص على نفس الشبكة.
تحتوي قاعدة البيانات على بيانات مثل الاسم والبريد الإلكتروني ورقم الهاتف ورمز الجهاز وصورة الملف الشخصي والرسائل وقائمة الأصدقاء – في الواقع ، يمكن العثور على جميع بيانات المستخدمين باستثناء كلمات مرور الحساب على الخادم غير الآمن.




بمجرد أن اكتشفنا أن المعلومات الحساسة متاحة للجمهور ، كثفنا جهودنا لاكتشاف مطور تطبيق الدردشة المشروعة (أي التطبيق الذي كانت أداة التجسس – في النهاية – إصدار طروادة من) للكشف عن مدى تعرضهم لها. لم نجد المطور ولا التطبيق ، مما أقنعنا بأن التطبيق مبني منذ البداية على أنه ضار. بطبيعة الحال ، لم نبذل أي جهد للوصول إلى الجهات الخبيثة وراء التطبيق.
اتصال BadPatch ممكن
ينتمي تطبيق Welcome Chat espionage إلى نفس عائلة برامج Android الضارة التي حددناها في بداية عام 2018. وقد استخدمت تلك البرامج الضارة خادم C&C نفسه ، pal4u.net ، كحملة تجسس تستهدف الشرق الأوسط تم تحديدها في أواخر عام 2017 بواسطة Palo ألتو نتوركس واسمها باد باتش. في أواخر عام 2019 ، وصف Fortinet عملية تجسس أخرى تركز على الأهداف الفلسطينية مع المجال pal4u.net من بين مؤشرات التوافق.
لهذه الأسباب ، نعتقد أن هذه الحملة مع أحصنة طروادة Android الجديدة تأتي من الجهات الفاعلة التي تهدد حملة BadPatch طويلة المدى.
توصية
في حين يبدو أن عملية التجسس المستندة إلى دردشة ترحيب مستهدفة بشكل ضيق ، فإننا نوصي بشدة ألا يقوم المستخدمون بتثبيت أي تطبيقات من خارج متجر Google Play الرسمي – ما لم يكن مصدرًا موثوقًا مثل موقع ويب لمورد أمان معروف أو بعض المواقع ذات السمعة الطيبة مؤسسة مالية. علاوة على ذلك ، يجب على المستخدمين الانتباه إلى الأذونات التي تتطلبها تطبيقاتهم والشك في أي تطبيقات تتطلب أذونات تتجاوز وظائفهم – وكتدبير أمان أساسي جدًا ، قم بتشغيل تطبيق أمان موثوق به على أجهزتهم المحمولة.
مؤشرات التسوية (IoCs)
اسم كشف ESET | الهاش |
Android/Spy.Agent.ALY | C60D7134B05B34AF08023155EAB3B38CEDE4BCCD |
Android/Spy.Agent.ALY | C755D37D6692C650692F4C637AE83EF6BB9577FC |
Android/Spy.Agent.ALY | 89AB73D4AAF41CBCDBD0C8C7D6D85D21D93ED199 |
Android/Spy.Agent.ALY | 2905F2F60D57FBF13D25828EF635CA1CCE81E757 |
MITRE ATT&CK techniques
Description | Name | ID | Tactic |
ينتحل تطبيق دردشة شرعي. | حفلة تنكرية كتطبيق شرعي | T1444 | الوصول الأولي |
يستمع للبث BOOT_COMPLETED ، مما يضمن تنشيط وظائف التطبيق في كل مرة يتم فيها تشغيل الجهاز. | البدء التلقائي للتطبيق عند تمهيد الجهاز | T1402 | إصرار |
يجمع معلومات حول الجهاز. | اكتشاف معلومات النظام | T1426 | اكتشاف |
يرسل ويستقبل رسائل SMS. | التقاط رسائل SMS | T1412 | |
التجسس على موقع الجهاز | تتبع الموقع | T1430 | |
ترسل محفوظات سجل المكالمات. | الوصول إلى سجل المكالمات | T1433 | |
يرسل قائمة جهات اتصال المستخدم. | قائمة جهات اتصال الوصول | T1432 | البيانات المجموعة |
يسجل الصوت المحيط. | التقاط الصوت | T1429 | |
يسرق صور المستخدم المخزنة على الجهاز. | البيانات من النظام المحلي | T1533 | |
يقوم بتحميل البيانات المتسلسلة باستخدام بروتوكول HTTP. | بروتوكول طبقة التطبيق القياسي | T1437 | الاوامر والتحكم |
الكاتب: Lukas Stefanko
المصدر/Source