Domestic Kitten：針對伊朗的監控活動

攻擊者

此次攻擊活動背後的組織者身份暫時還不能確定，根據攻擊的目標、APP的屬性和攻擊基礎設施判斷應該來源於伊朗。熟悉政治的情報專家稱伊斯蘭革命衛隊、內政部、情報部等伊朗政府組織都經常會進行這樣的監視活動。

事實上，這些監控程序是用於對伊朗政權穩定有威脅的個人和組織，包括內部持不同政見者和反對勢力。

通過手機應用手機數據

受害者首先會被誘使下載一個受害者感興趣的應用。這些應用包括ISIS主題的牆紙更換器，來自ANF庫爾德語通訊社的更新和即時消息應用Vidogram的虛假版本。

ISIS主題的應用的主要功能是設置ISIS圖片的牆紙，主要針對的目標是恐怖組織的支持者，搞笑的是應用名都有語法錯誤。

圖1: 提供ISIS相關牆紙的應用

圖2: ANF新聞社站點

ANF是一個合法的庫爾德語新聞網站，攻擊者偽造了該網站的APP來欺騙目標用戶。

因為前述應用的名稱和內容，研究人員相信這項攻擊活動的目標應該是特定的政治團體和用戶，主要是ISIS支持者和庫爾德種族。但主要的受害者還是伊朗普通市民。

技術分析

攻擊活動中使用的應用都使用了2016年發布的相同的證書。證書與telecom2016@yahoo[.]com相關聯。

圖3: 使用相同郵件地址的攻擊者應用證書

但該郵箱地址並沒有註冊用於攻擊活動的域名，所以沒查到什麼有用的信息。

繼續分析應用程序發現，所有的應用都有一個特徵就是使用了一個包名拼寫錯誤的包「andriod.browser」。

圖4: 惡意應用的類

這些類負責從受害者設備上竊取數據、收集敏感數據。具體的信息包括：

·SMS/MMS消息；

·通話記錄；

·聯繫人列表；

·瀏覽器歷史和書籤；

·外部存儲；

·剪貼板內容；

·地理位置和照相機圖片。

有趣的是，應用還會收集周圍錄音。

圖5: 惡意代碼示例

所有竊取的數據都回通過HTTP POST請求發回給C2伺服器。其中一個應用會與firmwaresystemupdate[.]com通信，這是新註冊的網站，解析的地址首先是一個伊朗的IP地址，然後會轉為一個俄羅斯的IP地址。

圖6: 其中一個誘餌應用聯繫firmwaresystemupdate[.]com

其餘應用會直接聯繫IP地址，與之前的域名不同的是，IP地址是base64編碼和XOR過的：

圖7: C2解碼

雖然是直接聯繫IP地址，這些新註冊的域名都會解析為這些IP地址，但都遵循相同的命名約定：

·Stevenwentz[.]com

·Ronaldlubbers[.]site

·Georgethompson[.]space

每個受害者都會收到一個唯一的設備UUID（是設備Android_id的編碼值），UUID在每次登陸時都會發回給攻擊者，發回的標題為UUID_LogDate_LogTime.log。

在為受害者創建日誌文件後，就會收集一些基礎信息。所有的日誌都使用~~~符合來分割竊取數據的不同域：

圖8: SMS日誌示例

然後不同的類回收集相關的數據，並加入到日誌中，然後繼續壓縮。之後，用AES加密方式加密，加密密鑰為設備UUID：

圖9: 應用的加密方法

當從攻擊者處接收到命令時就會收集信息並發回給C2伺服器。這些命令的結構與日誌相同，使用相同的分隔符，命令包括「Get File」、「Set Server」、「Get Contacts」 等。

圖10: 來自C2伺服器的命令示例

受害者分布

分析了攻擊活動的範圍、被攻擊的設備信息和收集的日誌文件，研究人員估算大約有240個用戶成為此次監視活動的受害者。惡意軟體的創建者非常信息的記錄了受害者的區域，所以有97%的受害者都是伊朗人，之前研究人員也推測這是一起來源於伊朗的監視活動。

剩餘3%的受害者來自阿富汗、伊拉克和英國。日誌文件中甚至還有用來攔截受害者數據的惡意應用名和應用code name域。Code name域含有應用的簡要描述，研究人員相信這是攻擊者用來快速識別受害者使用的應用的域。Code name有『Daesh4』 (ISIS4), 『Military News』, 『Weapon2』, 『Poetry Kurdish』等。

圖11: 被攻擊的設備和設備廠商分布

實際的受害者數量非常龐大，因為攻擊者會竊取受害者的通訊錄，通訊錄中含有聯繫人全名和至少一個手機號碼。而且還有通話記錄、SMS詳情、SMS消息、等不相關的用戶隱私信息都被竊取了。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！