Cercetătorii leagă apariția malware-ului de operatorii Wolf Research de „încredere ridicată” după ce a fost observat în campaniile care vizează utilizatorii thailandezi.
A fost descoperită o nouă familie de malware pentru Android, care vizează aplicații de mesagerie populare, cum ar fi WhatsApp și Facebook Messenger, pentru a aduna informații asupra victimelor Android.
Programul malware, supranumit WolfRAT, este în curs de dezvoltare activă și a fost identificat recent în campaniile care vizează utilizatorii thailandezi. Cercetătorii evaluează cu „mare încredere” că malware-ul este folosit de Wolf Research, o organizație de spionaj din Germania care dezvoltă și vinde malware bazat pe operațiuni de spionare către guverne.
„Detaliile din chat, înregistrările WhatsApp, mesagerii și SMS-urile poartă câteva informații sensibile, iar oamenii aleg să uite de acestea atunci când comunicările apar pe telefonul lor”, au declarat Warren Mercer, Paul Rascagneres și Vitor Ventura, cercetători la Cisco Talos, într-o analiză de marți. „Noi vedem că WolfRAT vizează în mod special o aplicație de chat criptată extrem de populară în Asia, Line, ceea ce sugerează că chiar și un utilizator atent care conștientizează pericolele chaturilor criptate end-to-end ar fi totuși la mila lui WolfRAT și ochilor săi rău-voitori.”
Warren Mercer, conducător tehnic la Cisco Talos, a declarat pentru Threatpost că crede că vectorul infecției a fost prin link-uri de phishing/smishing trimise către dispozitivele utilizatorilor. Cercetătorii au descoperit că domeniul serverului de comandă și control (C2) este localizat în Thailanda și conține referințe la mâncare thailandeze, oferind un indiciu despre ceea ce ar putea fi momeala.
Campania
Odată descărcat, WolfRAT se prezintă ca servicii legitime, precum aplicațiile Google Play sau actualizările Flash, folosind pictogramele și numele pachetelor. Acestea sunt în mod normal pachete funcționale, fără a fi nevoie de interacțiune cu utilizatorii, a spus Mercer. De exemplu, programul malware folosește un nume de pachet („com.google.services”) pentru a pretinde a fi o aplicație Google Play.
„Numele pare suficient de generic pentru a face ca un utilizator necunoscător în tehnologie să creadă că este legat de Google și este o parte necesară a sistemului de operare Android. Dacă utilizatorul apasă pe pictograma aplicației, va vedea doar informații generice ale aplicației Google, injectate de autorii malware-ului”, a declarat Mercer pentru Threatpost. „Aceasta are ca scop asigurarea că victima nu va dezinstala aplicația.”
După cercetările ulterioare despre WolfRAT în sine, cercetătorii au descoperit că RAT se bazează pe un malware scăpat anterior numit DenDroid. DenDroid a fost descoperit în 2014 și este un malware Android destul de simplu (nu profită de cadrul de accesibilitate pentru Android, de exemplu, așa cum fac multe familii moderne de malware Android). DenDroid conține comenzi bazate pe spionaj pentru realizarea de fotografii și videoclipuri, înregistrarea audio și încărcarea imaginilor.
Cercetătorii au identificat cel puțin patru versiuni majore ale WolfRAT, care reflectă faptul că se află în „dezvoltare intensă”. În ceea ce privește cronologia, cercetătorii au identificat probe care arată activitate din ianuarie 2019, cu toate acestea, unul dintre domeniile C2 a fost înregistrat în 2017 (ponethus[.]com), a declarat Mercer.
Aceste versiuni au dezvăluit mai multe funcții, inclusiv o caracteristică de înregistrare pe ecran. În timpul analizei lor din eșantioanele anterioare, cercetătorii au observat că funcția nu a fost niciodată apelată sau folosită de malware – cu toate acestea, în eșantioanele ulterioare, înregistrarea pe ecran este pornită atunci când RAT stabilește că WhatsApp funcționează.
Versiunile ulterioare ale programului malware prezintă, de asemenea, diferite permisiuni care solicită ACCESS_SUPERUSER (retras din uz începând cu Android 5.0) și privilegii DEVICE_ADMIN (retrase și ele în Android 10), care sunt ambele încercări de a accesa drepturi de acces privilegiate (adică permisiuni administrative) pe dispozitivul victimei. O altă permisiune adăugată, READ_FRAME_BUFFER, este „API-ul cel mai important folosit aici”, a declarat Mercer pentru Threatpost, deoarece poate fi folosit de o aplicație pentru a obține capturi de ecran ale dispozitivului curent (adică WhatsApp). Adăugând la această capacitate, versiunile ulterioare ale programului malware caută în mod activ activități de Facebook Messenger, WhatsApp și Line. Odată ce aceste aplicații sunt deschise, malware-ul preia capturi de ecran și le încarcă în C2.
Cercetătorii au remarcat că adăugarea și eliminarea constantă a pachetelor, împreună cu cantitatea uriașă de cod nefolosit și utilizarea tehnicilor vechi și depășite, „denotă o metodologie de dezvoltare amatoare”.
„Acest actor a arătat un nivel surprinzător de acțiuni de amator, incluzând suprascrieri de cod, copiere/lipire a proiectului de tip open source, clasele nefiind niciodată instanțate, pachete instabile și panouri care sunt deschise liber”, au spus aceștia.
Legăturile cu Wolf Research
Cercetătorii au legat campania cu Wolf Research după ce au identificat suprapunerile de infrastructură și referințele de string-uri folosite anterior de grup. Organizația pare să fie închisă, au spus cercetătorii, dar actorii amenințării sunt încă foarte activi. Cercetătorii consideră că operatorii săi continuă să lucreze sub pretextul unei noi organizații, numită LokD. Această nouă organizație a propus crearea unui telefon Android mai sigur, au spus cercetătorii. Pe baza site-ului web al organizației, acesta propune, de asemenea, servicii și au dezvoltat vulnerabilități zero-day pentru a testa propriile produse.
„Cu toate acestea, datorită schimbului de infrastructură și a numelor de panouri uitate, evaluăm cu mare încredere că acest actor este încă activ, încă dezvoltă malware și îl folosește de la mijlocul lunii iunie până astăzi”, au spus cercetătorii. „Pe panoul C2, am găsit o legătură potențială între Wolf Research și o altă organizație din Cipru numită Coralco Tech. Această organizație lucrează și la tehnologia de interceptare.”