新的异形战役
熟悉雷德利·斯科特 1979 年执导的著名电影《异形》的人都知道,要摆脱这部系列电影中的怪物是多么困难。尽管主角们竭尽全力,怪物似乎总是会回来。
当我们在 2022 年 2 月发现并命名Xenomorph 时,我们永远无法预测这个恶意软件家族与电影中的对应恶意软件有多么相似。
早 在 2023 年 8 月,ThreatFabric 的网络欺诈分析师就再次发现了一些 Xenomorph 的新样本。
从之前案例中观察到的情况来看,我们能够清楚地识别出一种分发活动,利用网络钓鱼网页诱骗受害者安装恶意 APK,与之前的版本相比,该 APK 的目标列表更大。
这个新列表为来自美国、葡萄牙的机构和多个加密钱包添加了数十个新的覆盖层,遵循了去年所有银行恶意软件家族的一致趋势。
ThreatFabric 还能够分析正在进行的活动,其中Xenomorph 在西班牙和美国的下载量达到数千次。
这并不罕见,因为许多其他恶意软件家族已开始将其兴趣范围扩展到大西洋彼岸,其中包括分布最广的 MaaS(恶意软件即服务)家族,例如 Octo、Hydra 和 Hook,以及一些恶意软件家族。最臭名昭著的私营家族,例如阿纳察(Anatsa)。
由于这些系列提供的设备接管功能,犯罪分子现在比以往任何时候都更容易在不同市场之间移动并在几乎不需要或不需要基础设施的情况下进行欺诈。
在本文中,我们将从技术角度出发介绍对 Xenomorph 的最新研究,并讨论该活动背后的威胁参与者使用的分发框架及其与其他恶意软件系列以及Windows桌面的联系 恶意软件与其并排分布。
异形再次回归
Xenomorph 是一个非常先进的恶意软件家族,它的运行范围从简单的短信操作到全面的设备控制,这得益于通过辅助服务权限提供的远程访问功能获得的非常强大的自动传输系统 (ATS) 框架 。该恶意软件家族自 2022 年初发现以来一直在不断发展,在几个月内不断添加功能。
Xenomorph 使用叠加层作为获取个人身份信息 (PII)(例如用户名、密码、信用卡号等)的主要方式。控制服务器向机器人传输一个 URL 列表,其中包含恶意软件可以检索受感染设备的覆盖层的地址。
此类叠加使用 Xenomorph 和 AES 特定算法的组合进行加密。一旦解密,覆盖层就会充当目标应用程序的登录页面:
其主要特点是非常灵活的 ATS 引擎,它提供了大量可以使用的操作并链接成操作序列,在满足特定条件时触发。威胁参与者将这些操作集称为其引擎的“模块” 。该恶意软件在其配置中包含大量模块,这些模块主要提供操纵受感染设备设置的可能性,例如通过向恶意软件授予写入权限或禁用打瞌睡模式(一种通过限制应用程序访问网络和资源来节省电池的模式)。 CPU 密集型服务)。
该恶意软件的硬编码和加密配置中可用的模块列表与我们今年早些时候报道的Xenomorph 的先前变体非常相似。在此版本中,添加了一个新模块,该模块在下表中以粗体突出显示:
该列表包括多个专门用于基于 AOSP(Android 开源项目)的特定移动用户界面的精确操作的模块,例如小米的 MIUI 或三星的 One UI。这是必要的,因为不同的 UI 需要独特的操作顺序来执行特定操作,例如禁用 Doze 模式。
演员们在支持三星和小米设备的模块上投入了大量精力。根据最近多项研究中提供的最新数据,考虑到这两者合计约占整个 Android 市场份额的 50%,这是有道理的。
这些模块的构建方式与我们在之前的博客中讨论的方式相同,但为了方便起见,我们将在此处报告其结构。每个模块都以 JSON 格式保存,有多个条目,结构如下:
{
"module": "",
"version": 1,
"parameters": [...], // LIST OF PARAMETERS
"requires": [...], // LIST OF REQUIRED CONDITIONS
"triggerConditions": [...], // LIST OF TRIGGER CONDITIONS
"terminator": {
...
}, // IS TERMINATOR ENABLED
"operations": [...] // LIST OF OPERATIONS TO BE EXECUTED (ATS)
}该系统为犯罪分子提供了重建决策算法流程所需的构建块。这意味着 ATS 模块不仅仅是一个接一个执行的操作列表:通过 “triggerConditions”、“requires”和“terminator”参数,ATS 引擎能够执行条件检查和循环,大大增加了其灵活性。
该引擎中可以使用的完整操作列表相当广泛,但与 Xenomorph 的先前版本相比尚未进行修改。如果您对此列表感兴趣,其中包括按下特定按钮、执行全局操作(主屏幕、后退等)以及在 UI 中搜索特定文本的操作,您可以参阅我们之前有关此恶意软件系列的文章。
新功能
从纯粹的技术角度来看,异形的这一新战役并没有对其之前的迭代进行重大修改。这证明了这个 Android Banker 的成熟度。操作 Xenomorph 的威胁行为者的大部分工作是开发额外的 ATS 模块,最重要的是分发他们的产品。
这并不意味着该恶意软件与其前身完全相同。
以下是 Xenomorph 添加的新命令列表(完整列表可在本文附录中找到):
防休睡功能
此功能允许犯罪分子在共享首选项文件中设置一个标志,该标志告诉恶意软件设备不应进入睡眠模式(即屏幕不应关闭)。
每当设置“antisleep”标志时,恶意软件都会维护一个活动通知,使设备保持唤醒状态,防止其进入睡眠状态。
该代码包含在命令“show_push”的逻辑中,负责显示推送通知。
如果“antisleep”标签存在并设置为 true,则恶意软件将创建默认推送通知。如果它设置为 false,它将清除它,允许设备返回睡眠状态。
如果恶意软件想要推送自定义通知,那么它将完全删除该标志,并从 C2 接收创建此类通知所需的参数。
“模仿”功能
威胁参与者还添加了一项新功能,在代码中称为“模仿” 。
使用“start_mimic”和“stop_mimic”启用或禁用此功能。
实际上,每当恶意软件启动时,它都会检查此模仿模式是否处于活动状态。如果是,它将自动启动另一个活动,该活动作为参数与 start_mimic 命令进行通信。这使得恶意软件可以选择充当任何其他应用程序,更重要的是,消除了通常与恶意软件相关的一种行为。该代码包含一个名为 IDLEActivity 的活动,它用作 webView 来显示合法网站。
在大多数情况下,首次执行后,恶意软件会向启动器隐藏其图标,以便尽可能长时间地不被注意。然而,这也可以通过安全产品进行检查,并且它会增加与特定应用程序相关的风险评分。
通过冒充另一个应用程序,Xenomorph 可以避免使用这种技术,从而避免触发 Android 恶意软件的多种典型行为之一。
在观察到的示例中,此功能的代码可用,但它是通过硬编码标志手动禁用的。我们预计这种情况在不久的将来会改变。
ClickOnPoint 功能
最后,作者或 Xenomorph 添加的最后一个命令是使用“clickOnPoint”命令在指定坐标处模拟简单触摸的能力。
这不是一个令人难以置信的高级功能,也绝对不是 Xenomorph 提供的最复杂的功能,但是,它允许犯罪分子执行小动作,而无需创建完整的 ATS 模块。
该命令为整个过程增加了更多灵活性:
if (!apiCommand0.command.equals("clickOnPoint") || apiCommand0.parameters == null || ((String)apiCommand0.parameters.get("x")) == null || ((String)apiCommand0.parameters.get("y")) == null) { continue;}Integer integer0 = Integer.parseInt(((String)apiCommand0.parameters.get("x")));Integer integer1 = Integer.parseInt(((String)apiCommand0.parameters.get("y")));UtilAccessibility.click(App.getAccessibilityService(), integer0.intValue(), integer1.intValue());目标分析
Xenomorph
这一新的 Xenomorph 活动的最新样本可以追溯到 2023 年 8 月中旬,并由 appTag “RUN-AUG1508-HIDE-1”识别。该标签除了帮助我们识别与此特定活动相关的活动周期外,还表明此类活动再次发生的可能性。
我们能够识别出属于该活动的几十个样本 ,这些样本与我们在上一篇文章中定义的“实时活动”中确定的相同领域的有针对性的工作有关。
这些地区包括西班牙、葡萄牙、意大利、加拿大和比利时。
然而,这一最新活动还添加了来自美国的大量金融机构,以及多个加密钱包应用程序,每个样本 总共有100 多个不同的目标,每个目标都使用专门设计的覆盖层从受害者受感染的设备中窃取宝贵的 PII。
正如简介中提到的,这是我们在所有现代恶意软件家族中一贯观察到的趋势。
随着世界各地机构普遍采用移动银行,犯罪分子利用这个机会将其活动扩展到以前未开发的市场是合乎逻辑的。
分配
ThreatFabric 能够识别通过网络钓鱼页面分发恶意软件的活跃活动。在这些情况下,恶意软件通过冒充Chrome 更新的网络钓鱼页面进行分发。
这与许多其他恶意软件家族使用的标准诱饵一致:通常使用非常常见和通用的应用程序,例如Google Chrome浏览器或Google Play 商店,较少引起受害者的怀疑,因为他们极有可能已经将这些应用程序安装在他们的设备。
然而,在这种特定情况下, 攻击者犯了一个严重错误,即没有限制对包含分发恶意软件所需文件的服务器文件夹的访问(这在 Xenomorph 方面并不是第一次)。
这使我们能够监控服务器,识别多个有趣的文件。
其中一个名为count.txt,包含一个由 IP、用户代理和日期组成的条目列表。经过进一步调查,我们确认这些是下载钓鱼页面有效负载的设备的 IP 。
这为我们提供了有关该异形活动实际下载量的非常有价值的信息。
从图中可以明显看出,该活动主要集中在西班牙,几周内下载量超过3,000 次,其次是美国和葡萄牙,下载量均超过 100 次。
值得注意的是,在本文发表前几天,滴点变更有效负载,开始分发ExobotCompact/Octo。
此事件背后的原因可能是以下之一:
1、该服务器由一名参与者使用,使用多种威胁,对每一种威胁进行测试。
2、该服务器是分发服务的一部分,其中要分发的样本被移交给分发者,分发者将它们放置在一台服务器上,用于不同运营商的不同活动。
这两种情况都有可能,而且我们过去确实报告过每种情况的实例。第一个案例仍然与 Xenomorph 连接,使用 Zombinder droppers 与 Ermac 有效负载并排分发。
第二个案例可以追溯到 2022 年,Medusa 和 Cabassous均采用相同的基础设施。
目前,我们没有确凿的证据来证明这两个假设,但我们将继续监控基础设施以获取更多信息。
桌面也是目标
然而,其他文件也引起了我们分析师的注意:对这些文件的进一步分析表明,它们与几个相当知名的桌面窃取程序有关: 旨在窃取受害者计算机凭据的恶意软件。
在以下部分中,我们将介绍两个有趣的文件:与 RisePro 窃取程序相关的“phoneoutsource.exe”和“647887023.png”是导致 LummaC2 窃取程序感染的阶段之一。
Stealer 崛起:带有 Private Loader 痕迹的 RisePro 窃取程序
RisePro窃取程序是桌面恶意软件威胁领域中众所周知的凭据窃取程序。据Sekoia.io 报道,它还与其他著名的恶意软件家族有一定的联系:Private Loader 。是在地下论坛上宣传的恶意软件即服务的另一个例子。
RisePro 于 2022 年 12 月首次被发现,沉寂了一段时间,并于 2023 年 7 月再次卷土重来。这一次,地下论坛上放置了几则广告来宣传更新的服务。
窃取者的能力相当广泛,包括:
1、从各种浏览器和浏览器扩展中窃取凭据、信用卡和 cookie ;
2、来自软件的凭证,包括加密货币钱包和电子邮件客户端;
3、按名称模式抓取文件;
4、任意文件下载。
对 RisePro 开发者帐户的监控显示,该恶意软件不断获得更新和增强。对分发网站上发现的文件的分析表明,它确实是RisePro 窃取程序,其痕迹指向另一个流行的恶意软件家族Private Loader。
然而,在此恶意软件中发现了之前未记录的更改:与 C2 的通信协议已更新,它使用端口50500上的原始 TCP 套接字而不是 HTTP 来接收命令和窃取数据。
数据包的结构如下:
1、Header “xadxdaxbaxab” (DWORD)
2、加密数据的大小 (DWORD)
3、数据包/命令 ID (DWORD)
4、加密数据
数据使用 Sekoia.io 博客中描述的相同替换表和 XOR 密钥进行加密,解密后,检索带有配置的 JSON 结构:
对C2的分析揭示了RisePro窃取程序的登录面板,再次证明了这种关系:
LummaC2也在这里
在分发服务器上找到的文件的性质表明,它很可能是可能被多个参与者使用的分发服务的一部分。 然而,所有这些文件也有可能属于一个参与者,该参与者正在尝试多个恶意软件即服务“提供商”来测试它们并查看结果,不仅关注移动设备,还关注桌面设备,试图到达更广泛的受众并获得尽可能多的凭证。
对 VirusTotal 上主机的进一步分析揭示了一个名为“BrowserUpdate.zip”的 ZIP 存档连接(类似于 Xenomorph 和 Octo 的伪装),可以看到该连接正在联系服务器并下载其中一个“PNG”文件。对这些文件的进一步检查揭示了它与另一个著名的窃取者LummaC2的联系。
其功能与其他窃取程序没有显着差异,旨在从受害者的计算机中窃取大量凭据和敏感数据。
在一台服务器上发现了如此多种恶意工具,我们可以非常有信心地得出结论,其背后的攻击者测试了不同的恶意软件即服务,以找出最有利可图的工具。
结论
此次调查再次凸显出犯罪分子不断完善产品、扩大触角,以实现利益最大化的行为。
Xenomorph 在中断数月后又回来了,这次的分发活动针对的是该家族历来感兴趣的一些地区,例如西班牙或加拿大,并添加了来自美国以及多个国家的大量目标。新的加密钱包。
ThreatFabric 能够分析一项特定活动,将其与主要来自西班牙、其次是美国和其他欧洲主要国家的数千次下载联系起来。
Xenomorph 保持着极其危险的 Android 银行恶意软件的地位,具有非常通用且强大的 ATS 引擎,已经创建了多个模块,其理念是支持多个制造商的设备。
事实上,我们看到 Xenomorph 与强大的桌面窃取程序并排分布,这是非常有趣的消息。它可能表明这些恶意软件背后的威胁行为者之间存在联系,也可能意味着 Xenomorph 正在作为 MaaS 正式出售给行为者,后者与其他恶意软件家族一起操作它。在每种情况下,它都表明来自异形的活动,我们以前从未见过,但在不久的将来我们可能会看到很多。
欺诈风险套件
ThreatFabric 的欺诈风险套件通过集成行业领先的移动威胁情报、行为分析、高级设备指纹识别和 10,000 多个自适应欺诈指标,实现安全、顺畅的在线客户旅程。这将使您和您的客户在欺诈不断变化的时代高枕无忧。
IOCs
异形样品
Xenomorph C2 服务器
转载来源:https://www.threatfabric.com/blogs/xenomorph
图片来源网络侵权可联系删除
