新型 Android 惡意軟件 'ActionSpy' 針對中亞少數民族群體
近日,一種名為ActionSpy的新型Android間諜軟件被發現,其主要針對西藏、土耳其和臺灣的受害者。
盡管2020年4月首次發現此間諜軟件,但研究人員認為根據其證書簽署時間ActionSpy已經存在了至少三年。
研究人員分析說:“ ActionSpy可能自2017年以來就已經存在,它是一種Android間諜軟件,它使攻擊者能夠從受感染設備中收集信息。” “它還有一個模塊,用于監視即時消息……并從四個不同的即時消息應用程序收集聊天記錄。”
研究人員發現,ActionSpy于2020年4月通過幾頁進行傳播。研究人員說,還不清楚這些頁面如何通過網絡釣魚電子郵件進行分發。
其中一些網站實際上是假的。例如,有一頁復制了世界維吾爾代表大會網站上的新聞頁面。其他是合法的網站,已經遭到破壞。
研究人員確定了土耳其的新聞網站和政黨網站受到攻擊并在攻擊中使用,以及在臺灣的大學網站和旅行社網站上也遭到了攻擊并用作注水網站。
在這些情況下,攻擊者向網站注入了腳本,以加載跨站點腳本框架 BeEF(“瀏覽器開發框架”的簡稱)。BeEF是一種針對Web瀏覽器的滲透測試工具。
研究人員說,他們懷疑攻擊者在目標受害者瀏覽惡意網站時使用了此框架來傳遞惡意腳本。
2020年4月下旬,研究人員發現了另一種類型的網站,該網站似乎是從第三方網絡商店復制而來,據稱是邀請用戶下載在藏族Android用戶中很受歡迎的維吾爾族視頻應用程序,稱為Ekran。該頁面注入了兩個腳本以加載BeEF框架以及ScanBox框架。ScanBox是JavaScript文件形式的框架,可以在不感染系統的情況下收集有關訪客系統的信息。
研究人員說:“下載鏈接已修改為包含Android應用程序的存檔文件。” “然后分析發現該應用程序是一個未記錄的Android間諜軟件,我們將其命名為ActionSpy。”
行動間諜
下載完成后,ActionSpy將連接到由DES加密的命令和控制(Cs)服務器。研究人員說,解密密鑰是用本機代碼生成的,因此很難對ActionSpy進行靜態分析。然后,間諜軟件每30秒收集一次其發送到C2服務器的基本設備信息(包括IMEI,電話號碼,制造商,電池狀態等)。
ActionSpy支持一系列模塊,包括允許其收集設備位置,聯系信息,呼叫日志和SMS消息的模塊。該間諜軟件還具有以下功能:使設備連接或斷開與Wi-Fi的連接;使用相機拍攝照片和設備的屏幕快照;以及從WhatsApp等消息傳遞應用程序,QQ和微信等中國消息傳遞服務以及日語消息傳遞工具Viber獲取聊天記錄。
ActionSpy還會提示用戶打開Android Accessibility服務,使用的提示似乎是內存垃圾清理服務。可訪問性服務以前曾被網絡犯罪分子利用Android攻擊進行攻擊,可為殘障用戶提供幫助。它們在后臺運行,并在“AccessibilityEvents”運行時接收系統的回調。
一旦用戶啟用了輔助功能服務,ActionSpy將在設備上監視此類“ AccessibilityEvents”,使其能夠解析受害者的當前活動并提取諸如昵稱,聊天內容和聊天時間之類的信息。
Earth Empusa
研究人員認為,這些網站可能是由名為Earth Empusa的威脅組織創建的。這是基于以下事實:頁面上注入的惡意腳本之一托管在屬于該組的域上。
Earth Empusa,也稱為 POISON CARP / Evil Eye,是一個威脅組織,以前與針對藏族高級成員的網絡攻擊有關。研究人員表示,他們發現了一些新聞網頁,這些新聞網頁似乎是從2020年3月托管在Earth Empusa的服務器上的與維吾爾族有關的新聞網站復制的。
研究人員警告稱,Earth Empusa仍然非常活躍,并且他們已經觀察到自2020年初以來在多個維吾爾族相關地點注入了BeEf框架。
研究人員警告說:“這些事態發展使我們相信Earth Empusa正在擴大其目標范圍。”
