ウイルス対策を装うマルウェアの調査から、新たな Android マルウェア「KevDroid」を発見
このブログ記事は、Jungsoo An の寄稿に基づき、Warren Mercer
、Paul Rascagneres と Vitor Venturaが執筆しました。
概要
数日前、EST Security で、Android モバイル プラットフォームをターゲットにしたウイルス対策を装うマルウェアに関する記事が公開されました。韓国のメディアでは、この Android マルウェアが Group 123 と関係している可能性があると報じられ、Talos は、当該マルウェアの調査を行うことにしました。今回の調査に加えて、Group 123 に関するこれまでの報告や追跡結果をまとめたところ、いくつか興味深い点が認められました。
Talos は、Android リモート管理ツール(RAT)の 2 つの亜種を確認しました。どちらのサンプルも機能は同じで、感染デバイス上の情報(連絡先、SMS および電話の履歴など)を窃取し、被害者の通話を記録します。一方の亜種では、感染した Android デバイス上でルート権限を取得するために、既知の Android エクスプロイト(CVE-2015-3636)が利用されています。どちらの亜種でも、HTTP POST を使用して独自のコマンドアンドコントロール(C2)サーバにデータが送信され、通話を記録する機能は、GitHub 上で入手可能なオープンソース プロジェクトをベースに実装されていました。Talos では、このマルウェアに「KevDroid」という名前をつけました。
また、KevDroid が使用するコマンドアンドコントロール サーバでホストされている RAT が、もう 1 つ確認されました(こちらは Windows が標的)。このマルウェアは特に、C2 サーバとして PubNub プラットフォームを使用します。PubNub はグローバルなデータ ストリーム ネットワーク(DSN)であり、PubNub API を使用して感染システムへ命令を送信します。「PubNubRAT」という名前は、この動作にちなんでつけられました。
今回、これらのサンプルと Group 123 サンプルとの関連は確認できていません。確認できたのは一連の戦術、手法、および手順(TTP)面の要素だけであり、関連性を特定するには至りませんでした。
KevDroid(Android マルウェア)
亜種 1:
KevDroid の第 1 の亜種は、比較的小さいサンプルであり、EST Security で解説されているサンプルに類似しています。「KevDroid」という名前を選んだのは、Android の author タグが「Kevin」となっていたこと、および「Kevin」という名を参照するアーティファクトが他にもいくつかあったことが理由です。このマルウェアは aykuttasil プロジェクトをベースにしています。 これは、Android デバイスで通話を録音するためのライブラリを開発・提供するプロジェクトです。マルウェアの中には、ライブラリの名前が残されていました。
このマルウェア アプリケーションの狙いは、デバイスに保存されている情報を窃取することです。窃取される情報のリストを下記に示します。
- インストールされているアプリケーション
- 電話番号
- 電話機の固有 ID
- ロケーション情報(マルウェアにより GPS の起動が試みられます)。ロケーション情報は、この種のスパイ ツールとしては高頻度の 10 秒間隔で収集されます。
- 保存されている連絡先情報(名前、電話番号、電子メール、写真など)
- 保存されている SMS
- 通話記録
- 保存されている電子メール
- 画像
- 通話の録音
KevDroid により何らかの情報が収集され攻撃者の手に渡れば、多くの被害を被る危険性があります。モバイル デバイスには社会的な側面があるため、デバイス上には大量のデータが存在しています。写真、パスワード、銀行情報、ソーシャル エンジニアリングなどの個人情報が含まれている可能性もあります。これらのデータが流出すれば、親族などの誘拐、秘密の画像や個人情報を基にした脅迫、クレデンシャルの収集、多要素トークン アクセス(SMS MFA)、銀行など金銭面への影響、秘密情報へのアクセスなど、(おそらくは電子メール/テキストを介した)多様な被害につながるおそれがあります。多くのユーザが、モバイル デバイスから会社の電子メールにアクセスしています。そのため、KevDroid からサイバー スパイの被害を受ける可能性も考えられます。
APK サンプルは 2018 年 3 月に下記 URL で確認されました。
- hxxp://cgalim[.]com/admin/hr/1.apk
データは下記 URL の同じサーバ上で盗み出されます。
APK パッケージ名は「Update」で、インストール アイコンは Droid のロゴです。
亜種 2:
KevDroid の第 2 の亜種は、Talos が発見した前述のサンプルより大きく、2018 年 2 月に同じ URL で発見されました。サンプル名は「PU」で、アイコン ロゴは空でした。このマルウェアのアーキテクチャは、前述のバージョンとは少し異なっています。たとえば、この亜種では、データを保存するのに SQLite データベースが使用されます。
また、前述のバージョンと同じ機能が含まれていますが、いくつかの追加機能もあります。
- カメラによる撮影
- 音声の録音
- Web 履歴の窃取
- ファイルの窃取
- デバイスのルート権限の取得
ルート権限の取得は、APK に埋め込まれた ELF ファイルによって行われます。ファイルは「POC」という名で、32 ビット版の OS をサポートしています。このファイルは、GitHub で入手可能なコードにより、CVE-2015-3636 を利用してデバイスをエクスプロイトしようとします。その狙いは、感染デバイスのルート権限を取得することです。マルウェアがルート権限を取得すれば、実質的に昇格特権が得られるため、より細かいアクション(他のアプリケーションからのファイルの取得など)を実行できるようになります。これは、多くのマルウェアで利用される一般的な手法です。この手法によりマルウェアをユーザ操作やプロンプトなしで(つまり秘密裏に)実行できます。
C2 サーバは、前述のものと同じです。
PubNubRAT(Windows マルウェア)
マルウェア サンプル
Talos では下記 URL のサーバで、Windows バイナリを発見しました。
- hxxp://cgalim[.]com/admin/hr/hr.doc
このバイナリの狙いは、追加ファイルをダウンロードすることです。
- hxxp://ebsmpi[.]com/ipin/360/Ant_4.5.exe
- hxxp://ebsmpi[.]com/ipin/360/Ant_3.5.exe
- hxxp://ebsmpi[.]com/ipin/360/desktops.ini
元のサーバ上で、同じファイルをダウンロードする別のサンプルが見つかりました。
- hxxp://cgalim[.]com/admin/1211me/Ant_4.5.exe
- hxxp://cgalim[.]com/admin/1211me/Ant_3.5.exe
- hxxp://cgalim[.]com/admin/1211me/desktops.ini
ダウンロードされた実行可能ファイルは、.NET で開発された RAT であり、desktops.ini ファイルは、設定ファイルです(キー 0x17 で XOR 処理)。マルウェアは、C2 サーバとしてパブリック サービスを使用しますが、PubNub も使用します。URL と攻撃者のトークンが含まれているデコード済みの設定を下記に示します。
ps.pndsn.com Process sub-c-2199cb5c-f20a-11e7-acf8-26f7716e5467 pub-c-cdb76f31-abb8-4c47-aed3-d8c1de7bf5e6 sec-c-ZjM3MTY1ZWMtNjg4OS00MzJjLTlkZjgtZGQzN2EzOGI4MDU1 cip-c-Awwqe1wwas12312w 9919
感染システムへの命令の送信には、PubNub API が使用されます。コマンド リストを下記に示します。
このマルウェアの機能は、ファイルの窃取、ファイルのダウンロード、コマンドの実行、プロセスの終了、およびスクリーンショットの作成(tmp0120.ini ファイルに保存)です。
正規の API が使用される場合、防御側にとっては常に障壁となります。正当なネットワーク フローに隠された悪意のある通信を識別するのは困難です(特に、要求が HTTPS を経由した暗号化を使用している場合)。
PubNubRAT サンプル内には娯楽コンテンツも見受けられます。
Haizi は中国語で「子ども」を意味します。ただしこの文字列は、マルウェアの開発者が中国人であるという意味ではなく、アナリストに向けられたメッセージです。Olympic Destroyer の記事で述べたように、攻撃者がアナリストを欺くために虚偽のフラグを使用する場合もありますが、今回も同様のケースである可能性があります。
感染のベクトル:ビットコインと中国
最初の実行可能ファイルは、bitcoin-trans.doc という名前の RTF ドキュメントからダウンロード・実行されました。
RTF ドキュメントには Microsoft Equation オブジェクトが埋め込まれており、CVE-2017-11882 の脆弱性を悪用して、前述の hr.doc ファイルをダウンロード・実行します。
このドキュメントは韓国語で書かれています。中国が所有するビットコイン量を記し、中国でのビットコインの取り扱い方法について説明しています。ビットコイン取引の現状と、ビットコインの価値に関するいくつかの見解も述べられています。
まとめ
当初、今回のマルウェアには Group 123 との関連の可能性が疑われたため、Talos では時間をかけてこれを調査しました。しかし、先述したように、2 つのマルウェア サンプルと Group 123 との間に強い関連性は確認されていません。パブリック クラウドを C2 サーバとして使用するのは、Group 123 だけに限ったことではなく、以前にも他のマルウェアによって使用されたことのある手法であり、TTP に共通性がほとんど見られません。また、C2 サーバは韓国でホストされていることからも、今回のマルウェアは韓国のユーザを標的にしていることが判明しています。しかし、この情報だけでは強い関連性が存在すると結論付けることはできません。Talos は今回の調査を通じて、情報の窃取と感染システムの制御を試みる新しい Android ベースのマルウェアと Windows ベースのマルウェアを発見しました。これらのサンプルに関する詳細な情報は存在せず、大規模に使用されているわけでもありませんが、今回の攻撃キャンペーンについては十分にご注意ください。
カバレッジ
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
CWS や WSA の Web スキャンは、悪意のある Web サイトへのアクセスを阻止し、それらの攻撃に使用されたマルウェアを検出します。
E メール セキュリティ は、攻撃の一環として攻撃者が送りつける不正なE メールをブロックします。
NGFW や NGIPS、および Meraki MX などのネットワーク セキュリティ アプライアンスで、この脅威に関連付けられた悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を組み込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープンソース Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
IOC(侵入の痕跡)
KevDroid:
URL:hxxp://cgalim[.]com/admin/hr/1.apk
亜種 1:f33aedfe5ebc918f5489e1f8a9fe19b160f112726e7ac2687e429695723bca6a
亜種 2:c015292aab1d41acd0674c98cd8e91379c1a645c31da24f8d017722d9b942235
C2:hxxp://cgalim[.]com/admin/hr/pu/pu.php
PubNubRAT:
URL:
hxxp://cgalim[.]com/admin/hr/hr.doc
hxxp://ebsmpi[.]com/ipin/360/Ant_4.5.exe
hxxp://ebsmpi[.]com/ipin/360/Ant_3.5.exe
hxxp://ebsmpi[.]com/ipin/360/desktops.ini
サンプル:
dd3f5ad44a80e7872e826869d270cbd5c0dc4efafff6c958bd1350ce1db973eb: hr.doc
7a82cc0330e8974545d5a8cdca95b8d87250224aabc6a4f75a08dddaebb79670: hr.doc
90abfe3e4f21b5a16cd1ff3c485f079f73f5e7bbaca816917204858bb08007fc: Ant_4.5.exe
d24d1b667829db9871080b97516dbe2e93ffaa3ac6fb0a4050a7616016c10d32: Ant_3.5.exe
86887ce368d9a3e7fdf9aa62418cd68daeea62269d17afb059ab64201047e378:Servlet.exe (hr.doc variant)
9ff7240c77fca939cde0eb1ffe7f6425c4dcfde2cdd1027dde6d07386c17f878: Ant_3.5.exe
4cb16189f52a428a49916a8b533fdebf0fe95970b4066ce235777d3e95bff95b: 360TS_Setup_Mini.exe
RTF:6b1f2dfe805fa0e27139c5a4840042599262dbbf4511a118d3fba3d4ec35f2d7
本稿は 2018年4月2日に Talos Group
Tags:
