近日,趨勢科技宣稱他們在一個釣魚網站上發現了一個偽裝成聊天APP的新型間諜軟體家族,並認為這些惡意APP很有可能是在為一場大規模活動而做的準備。
但在之後的幾個月裡,釣魚網站一直處於關閉狀態。直到今年10月份,釣魚網站再次上線,但可下載的APP已經更換為了“Apex”。
分析表明,Apex和Chatrious同屬一個間諜軟體家族,都能夠竊取使用者的個人資訊。目前,趨勢科技已將該間諜軟體家族標識為“AndroidOS_CallerSpy.HRX”。
圖1. Chatrious(左)和Apex(右)
行為分析如上所述,CallerSpy被描述為聊天APP,但分析表明它根本不具備聊天功能。
一旦執行,它就會通過Socket.IO啟動與C&C伺服器的連線,以監聽來自C&C伺服器的命令。
然後,它會利用Evernote Android-Job開始排程計劃任務以竊取資訊。
CallerSpy會設定多個計劃任務,以收集受感染裝置上的通話記錄、簡訊、聯絡人列表和檔案。此外,它還能夠進行螢幕截圖,並將截圖上傳到C&C伺服器。
所有的被盜資訊都將被儲存在本地資料庫中,然後定期上傳到C&C伺服器。
CallerSpy的目標檔案型別如下:
當CallerSpy接收到來自C&C伺服器的命令後,它便會進行螢幕截圖。隨後,它將對截圖進行Base64編碼,並通過預先配置的Socket.IO連線上傳到C&C伺服器。
基礎設施分析為了誘騙使用者下載APP,攻擊者使用了類似Google的山寨域名——Gooogle。
Whois查詢顯示,這個域名是於2019年2月11日在Namecheap註冊的,但是有關注冊人的資訊全都無法追溯。
圖7. gooogle[.]press的註冊資訊
雖然趨勢科技設法捕獲到了四個C&C伺服器IP地址,但卻發現他們都託管在合法服務上,唯一能確定的只有C&C服務在埠3000上使用Node.js。
暴風雨的前夕趨勢科技,他們到目前為止還沒有發現實際的CallerSpy感染者,但同時也提出了一個可能,即CallerSpy目前仍處於測試階段,攻擊者很可能是在為一場大規模活動而做準備。
首先,CallerSpy目前還沒有使用者介面(UI),也沒有其所描述的聊天功能。
其次,它目前使用的仍是預設的應用程式圖示,甚至被標記為“rat”,而且還存留了一些除錯程式碼。
圖8. CallerSpy的圖示和名稱(左),除錯程式碼(右)
再次,樣本認證資訊也表明,它目前僅用於測試。
最後,釣魚網站頁面上有三個按鈕,分別是“APPLE STORE”、“GOOGLE PLAY”和“WINDOWS STORE”,說明CallerSpy至少適用於Apple、Android和Windows這三個平臺。
但實際情況是,它目前僅支援Android。