回归最本质的信息安全

;

Maikspy间谍软件伪装成成人游戏,攻击Windows和安卓用户

2018年5月16日发布

5,126
0
5

导语:Maikspy间谍软件从2016年开始活动,是一款多平台间谍软件,可以窃取用户隐私数据,并时常衍生新变种和改变C2服务器地址。

研究人员发现一个名为Maikspy的恶意软件家族,这是一个可以窃取用户隐私数据的多平台间谍软件。该间谍软件攻击目标为Windows和安卓用户,最开始会伪装成一个以美国著名成人电影女演员命名的成人游戏。Maikspy将成人电影女演员的名字和间谍软件融合在一起,从2016年开始活动。

研究人员对最新的Maikspy变种进行了分析,发现用户是从hxxp://miakhalifagame[.]com/获取的该间谍软件,而该网站是专门分发恶意app的,还可以连接到C2服务器来上传从被感染的机器上收集的数据。多个Twitter账号在推送一个叫做Virtual Girlfriend的成人游戏,并通过短链接的方式分析恶意域名。

image.png

Figure 1. 提到Virtual Girlfriend 和 hxxp://miakhalifagame[.]com/的短链接的Tweets

安卓平台上的Maikspy

image.png

Figure 2. Maikspy Android变种的感染链

研究人员对样本进行了分析发现,运行在安卓平台上的Maikspy变种名为Virtual Girlfriend,引诱用户访问攻击者的恶意域名。当用户打开Twitter分析的短链接,页面上会出现性别的选项,供用户选择第一个女友然后让将用户引导到下载页面。

image.png

Figure 3. Virtual Girlfriend的选择按钮和下载页面

下载的APK文件安装和加载后,就会发送受感染设备的Unix时间戳到0046769438867,含有瑞典国家码的电话号码。这应该是用来进行设备ID注册的:

image.png

Figure 4. 发送给0046769438867的设备Unix时间戳代码段

随后,携带Maikspy的app就会显示“Error: 401. App not compatible. Uninstalling…”,欺骗用户让用户以为app已经从设备移除了。但间谍软件只是将自己隐藏并后台运行。恶意app首先会检查必要的权限,然后:

· 窃取手机号码;

· 窃取账号;

· 窃取安装的app列表;

· 窃取通讯录;

· 窃取短信;

窃取的信息在上传到C2服务器之前会写入.txt文件或.csv文件中。

在取回和上传了窃取的数据后,恶意app每60秒会检查C2服务器的CMD,下面是支持的命令列表:

360截图20180511091539250.jpg

Virtual Girlfriend启动后,恶意app会用Unix时间戳,设备的蓝牙适配器名和用户的Twitter账号名作为设备的识别名:Timestamp_BTAdapterName_TwitterAccount。如果用户没有Twitter App,就会用(“”),如果用户有多个Twitter账号,间谍软件会使用当前用户登录的账号。

image.png

Figure 5. 来生成设备识别名的代码段

然后,间谍软件在首次安装后会打开hxxp://miakhalifagame[.]com/get_access2[.]php,页面内容如下:

image.png

Figure 6. 恶意Virtual Girlfriend app安装后展示的在线约会网站

实际上显示的是一个在线约会网站的注册页面,该页面会引诱用户给出信用卡信息。当用户注册后,信用卡就会被收费。这是因为右边红色标注的地方有隐藏的iframe,填写的数据和隐藏的iframe信息都会被上传。因此,只有用户不要求退款,该方案的攻击者不仅能获取受害者的信用卡信息,还可以窃取信用卡中的钱。

Windows平台上的Maikspy

image.png

Figure 7. Maikspy Windows变种的感染链


image.png

Figure 8.  用户点击Twitter hxxp://miakhalifagame[.]com/短链接后的按钮

Maikspy的Windows变种上次监测到的时间是2017年4月,用户会被欺骗下载一个MiaKhalifa.rar 文件,该文件含有下面的内容:

image.png

Figure 9. MiaKhalifa.rar文件的内容

README.txt 提供了教用户关闭反病毒软件和打开网络的指导,这也是攻击者窃取和上传数据C2服务器所必须的。

image.png

Figure 10. README.txt的内容

register.bat 是用来获取管理员权限的。

image.png

Figure 11. register.bat代码段

Uninstall.exe是开源黑客攻击Mimikatz (https://github[.]com/gentilkiwi/mimikatz)的一个副本。它可以从内存中提取明文密码,哈希值,PIN码,和Kerberos凭证。在这里,Uninstall.exe是用来窃取Windows账户和密码的,然后写入 C:\Users\%username%\AppData\local\password.txt文件中。

Setup.exe是窃取数据的核心模块。与安卓 Maikspy类似,它首先会发送通知给C2服务器来注册设备:

image.png

Figure 12. 发送给C2服务器来注册设备的通知的代码段

之后,会从C:/Users/%username%/Desktop, C:/Users/%username%/Pictures, C:/Users/%username%/Documents, C:/Users/%username%/Downloads等文件目录取出.jpg, .jpeg, .png, .txt, .wav, .html, .doc, .docx and .rtf格式的文件。目录的文件列表也被窃取了,随后在上传到C2服务器之前也会把这些写入文件中。

image.png

Figure 13. 扫描,提取,上传.jpg,jepg,png,txt,wav,html,doc,docx,rtf文件的代码段

研究人员还发现一个可以用来访问hxxp://miakhalifagame[.]com的Chrome扩展插件(VirtualGirlfriend.crx)。扩展插件下载后,受害者就会被告诉如何在浏览器中加载。之后,恶意软件就会从web页面收集用户名和密码输入,并发送给hxxps://miakhalifagame[.]com/testinn[.]php。

image.png

Figure 14. 教用户如何加载恶意Chrome扩展的指导语

image.png

Figure 15. 恶意扩展插件的代码

Round Year Fun 和Maikspy之间的联系

如图1所示,传播Virtual Girlfriend的Twitter账号名为Round Year Fun (hxxps://twitter[.]com/RoundYear_Fun),主页全部是推送来自hxxp://www[.]roundyearfun[.]org站点的游戏推广。

image.png

Figure 16. Round Year Fun的Twitter主页

hxxp://www[.]roundyearfun[.]org是Twitter上推广游戏的门户。如图所示,除了Virtual Girlfriend外,还有其他的游戏。在检查了缓存的页面后,研究人员发现这也是Maikspy背后的攻击者用来分发成人游戏的。

image.png

Figure 17. Virtual Girlfriend在 hxxp://www[.]roundyearfun[.]org提供的推广游戏列表里

image.png

Figure 18.  hxxp://www[.]roundyearfun[.]org推广的成人游戏

分析发现hxxp://www[.]roundyearfun[.]org也被用来C2地址来保存受害者的数据。恶意软件与Virtual Girlfriend共享系统的证明。其中的一个样本来自 hxxp://roundyearfun[.]org/noavi/MiaKhalifa[.]apk,有趣的是,研究人员在hxxp://miakhalifagame[.]com/img/ryf[.]jpg发现一个Round Year Fun logo的图片。

image.png

Figure 19.  Maikspy恶意域名中发现的Round Year Fun logo

基于以上发现,可以推断出个Maikspy背后的攻击者运营着roundyearfun[.]org/和hxxp://miakhalifagame[.]com/两个网站。研究人员还发现,如果用户授权这些尤其使用Twitter账户,那么开发者就会用自动化的工具来让这个账号也去转发推广游戏。

Maikspy的发展历程(2016-2018)

Maikspy的第一个Windows平台样本出现在2016年12月,它伪装成以成人电影女演员命名的成人游戏。该恶意应用可以通过hxxp://fakeomegle[.]com/网站更新,可以窃取桌面,图片,文档和下载文件夹中的.jpg, .jpeg, .png, .txt, .wav, .html, .doc, .docx,.rtf文件,也可以窃取IE,Chrome, Firefox或默认浏览器的信息,以及操作系统和网络配置信息。该间谍软件会连接到 107[.]180[.]46[.]243。

第一个安卓变种出现在2017年1月,也是伪装成成人游戏,并且连接到同样的C2服务器。可以对受害者设备进行电话录音,窃取设备位置,SMS,通讯录,Whatsapp数据库等。第二个变种很快就出现了,新增了窃取设备剪贴板内容,电话号码,安装app列表和账号等功能。同时,窃取Whatsapp数据库的功能被移除了。

2017年3月,另一个可以窃取用户照片的变种出现的。该变种的代码结构和包名,C2地址都发生了变化,其中C2地址变为:198[.]12[.]155[.]84。

2017年4月,最后一个Windows变种出现了,发生的变化有:C2服务器地址变为198[.]12[.]155[.]84,增加了窃取密码功能和窃取.doc,.docx,和.rtf文件功能。

在2017年7月到12月间,安卓变种发生了以下变化:C2服务器地址变为192[.]169[.]217[.]55,移除了电话录音功能,C2服务器地址再次变为198[.]12[.]149[.]13。

2018年1月,安卓变种app更名为 Virtual Girlfriend。2个月后,C2服务器改为hxxp://miakhalifagame[.]com,攻击者使用HTTP协议来传输数据,窃取位置信息和照片的功能被移除了。

Maikspy使用的C2服务器和变种的关系

Maikspy背后的攻击者经常变化域名和IP地址,但都是在一家位于美国的网络域名注册商处注册的。下图是Maikspy变种从2016年到2018年如何连接到C2服务器:

image.png

Figure 20. 连接到 198[.]12[.]155[.]84, hxxp://roundyearfun[.]org/, 和192[.]169[.]217[.]55的Maikspy变种

image.png

Figure 21. 连接到107[.]180[.]46[.]243和hxxp://fakeomegle[.]com的Maikspy变种

image.png

Figure 22. 连接到198[.]12[.]149[.]13和hxxp://miakhalifagame[.]com/的Maikspy变种

解决方案

从正规的应用商店下载应用可以避免Maikspy入侵手机和计算机。同时,要知道app要请求的权限的意义和相关的风险,并合理授权。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/maikspy-spyware-poses-as-adult-game-targets-windows-and-android-users/如若转载,请注明原文地址: http://www.4hou.com/system/11628.html

点赞 5
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

ang010ela

这个人很懒,什么也没留下

发私信

发表评论