マルウェア

Reaperグループによるモバイル武器の新たな活用

Clock Icon 2 min read
Related Products

This post is also available in: English (英語)

要約

EST Securityによる最近の投稿で、北朝鮮のReaperグループ(APT37、Scarcruft、Group 123、Red Eyesとしても知られる)とつながるスピアフィッシング メールの添付ファイルで、Androidスパイウェアが使用されていることがわかりました。この脅威グループのツールキットに新たにモバイル ベクトルが追加されたことが注目されています。

Unit 42は、このESTの発見についてさらに調査を進めて、元の記事で言及されたトロイの木馬のより高度な亜種を観測しました。Talosがこの亜種について記事を書いており、KevDroidと命名しています。

この投稿では、KevDroidの分析を行うだけでなく、Bitcoin Ticker WidgetアプリケーションおよびPyeongChang Winter Gamesアプリケーションにおいて、以前の未知のトロイの木馬化されたバージョンの発見についても詳しく述べます。これらのバージョンは、このスパイウェア亜種のダウンローダーです。

背景

EST Securityによる投稿では、Naver (韓国大手の検索およびWebポータル サービス プロバイダ)製アンチウイルス アプリケーションを装うAndroidスパイウェアについて詳しく説明されていました。弊社は、同じサンプルを捕捉すると同時に、同じ亜種でさらに2つのバージョンを発見しました。1つはcgalim[.]comにつながっており、これはパロアルトネットワークスが非モバイル攻撃(付録のIOC参照)でReaperグループによる使用を既に観測していたドメインです。

アプリ名 アイコン SHA256
Google Defender Update 06222141a684de8a0b6e5dc1f7a2b14603c98dbe404ad7605dc9eb9d903c3df8
Update f33aedfe5ebc918f5489e1f8a9fe19b160f112726e7ac2687e429695723bca6a

表1:Reaperグループにつながる、元のAndroid スパイウェア亜種の検出済み追加サンプル

元の亜種のアーティファクトに注目することで、同じスパイウェアのより高度な亜種を見つけることができました。これについては、以下で詳しく述べます。また、2つの亜種のそれぞれのダウンローダーとしての役割を果たす2つのAndroidアプリケーションも発見しました。これについては、次項で述べます。

ダウンローダー

ReaperグループのAndroidスパイウェアの亜種を調査していくうちに、hxxp://cgalim.com/admin/hr/1[.]apkからアプリケーションをダウンロードしてインストールする機能を持つ、2つのアプリケーションを発見しました。また、Androidスパイウェアの高度な亜種を提供するURLが同じであることも観測し、これら2つのアプリケーションがReaperグループのAndroidスパイウェアのダウンローダーとしての役割を果たしていることを確認しました。この2つのアプリケーションは、Google Playストアで入手可能な一般的なアプリケーションをトロイの木馬化したバージョンです。トロイの木馬化されたバージョンは、Google Playには存在しません。

両方のダウンローダーともに同じURLに接続してペイロードをダウンロードしますが、コードを詳しく調べると、ReaperのAndroidスパイウェアの特定の1亜種をダウンロードしてドロップするようにそれぞれ作成されていることがわかります。

アプリ名 アイコン SHA256 ドロップするペイロード
PyeongChang Winter Games 28c69801929f0472cef346880a295cdf4956023cd3d72a1b6e72238f5b033aca 新しい亜種
Bitcoin Ticker Widget 679d6ad1dd6d1078300e24cf5dbd17efea1141b0a619ff08b6cc8ff94cfbb27e 元の亜種

表2: Reaperグループにつながるスパイウェア亜種のドロップに使用されるAndroid ダウンローダー

両方のアプリケーションが、同じ証明書で署名されているので、同じ作成者によるものであることが確認できます。

Owner: CN=Jhon Phalccon, OU=Google Chrome, O=Google Chrome, L=Washington, ST=US, C=US
Issuer: CN=Jhon Phalccon, OU=Google Chrome, O=Google Chrome, L=Washington, ST=US, C=US
Serial number: 7b320fab
Valid from: Wed Jan 24 10:22:50 GMT 2018 until: Sun Jun 11 10:22:50 GMT 2045

これらのダウンローダーは、インストールされると、アプリケーションを更新するようにユーザーを促すメッセージを表示します。ユーザーがこのプロンプトに従うと、ダウンローダーはペイロードを取得して、外部デバイス メモリにAppName.apkという名前で保存します。このペイロードは、ロードされて、再度ユーザーにインストールを確認するように促すプロンプトを表示してから、最終的にデバイスにインストールされます。次のセクションでは、より新しく、より高度なこれらのペイロードの亜種について分析します。

高度な亜種の分析

この分析では、次のサンプルを使用しました。

アプリ名 アイコン SHA256
PU (空白) 990d278761f87274a427b348f09475f5da4f924aa80023bf8d2320d981fb3209

表3: Reaperグループにつながる、検出済みの新しいAndroid スパイウェア亜種

このサンプルには、以下の機能があります。

  • 動画を記録する(デフォルトの時間は10分間)
  • 音声を記録する(デフォルトの時間は5分間。48_d[TS].amrという名前で保存)
  • スクリーンショットをとる(96_d[TS].jpgという名前で保存)
  • 電話のファイル リストを取得する(128_d[TS].txtという名前で保存)
  • 特定のファイルをフェッチする
  • コマンドのリストをダウンロードする
  • デバイス情報の取得 - 64ビットAndroid ID、電話番号、システム プロパティなど(208_d[TS].jsonという名前で保存)
  • デバイスのルーティング(パッケージ アセットの「poc」というバイナリを使用)

また、この高度な亜種には、以下の情報の漏出機能があります。

  • 着信および発信の通話音声記録(_p[Ph]_in_[D].amrまたは_p[Ph]_out_[D].amrという名前で保存)
  • 通話ログ(16_d[TS].jsonという名前で保存)
  • SMS履歴(32_d[TS].jsonという名前で保存)
  • 連絡先リスト(144_d[TS].jsonという名前で保存)
  • 電話の登録済みアカウントに関する情報(160_d[TS].jsonという名前で保存)

それぞれのケースで、[TS]はyyyyMMddkkmmssという形式の現在のタイムスタンプです。[Ph]は通話の発信元または宛先の電話番号で、[D]は通話時間です。

これらの漏出機能は元の亜種と共有されていますが、前の亜種が オープン ソース ライブラリを使用していたのに対して、この新しい亜種は独自の通話記録ライブラリを作成します。

漏出した情報は、電話の/sdcard/_puディレクトリに書き込まれ、hxxp://hakproperty.com/new/plat/pu[.]php?do=uploadに送信されます。

転送する前に、このファイルは、「08D03B0B6BE7FBCD」というキーを使用してAES暗号化されます。この暗号化スキームとキーは、2つの亜種で一貫しています。

暗号化後の、ファイルはサフィックス「x」を付けて名前変更されます。作成されたすべてのファイルは、アップロード サーバーに送信された後、削除されます。

コマンドのリストをフェッチするように命令を受けると、リストが以下からフェッチされます。

hxxp://hakproperty.com/new/plat/pu[.]php?do=download_rc&aid=" + [64-bit android_id]

結論

新しい攻撃ベクトルの出現、さらにそれに続く、冬季五輪など時節に応じたアプリケーションを装う新しい亜種の登場は、Reaperグループが活発に開発を進めており、活動範囲を拡大していることを示しています。

パロアルトネットワークスのお客様は、攻撃に対して以下の保護機能によって守られています。

  1. AutoFocusをご使用のお客様は、Reaperタグで、このグループの活動を調べることができます。
  2. WildFireは、悪意があると判断した、すべての関連サンプルを検出します。
  3. Trapsは、このグループに関連したすべての悪意のあるファイルをブロックします。

IOC

ReaperダウンローダーAPKのサンプル
28c69801929f0472cef346880a295cdf4956023cd3d72a1b6e72238f5b033aca
679d6ad1dd6d1078300e24cf5dbd17efea1141b0a619ff08b6cc8ff94cfbb27e
高度な亜種のサンプル
990d278761f87274a427b348f09475f5da4f924aa80023bf8d2320d981fb3209
cgalim[.]comを利用する非APK Reaper関連のサンプル
0de087ffb95c88a65e83bd99631d73d0176220e8b740785de78d2d79294f2303
6b1f2dfe805fa0e27139c5a4840042599262dbbf4511a118d3fba3d4ec35f2d7
86887ce368d9a3e7fdf9aa62418cd68daeea62269d17afb059ab64201047e378
d29895aa3f515ec9e345b05882ee02033f75745b15348030803f82372e83277a
d5de09cc5d395919d2d2000f79326a6997f4ec079879b11b05c4d1a1a847ed00
Enlarged Image