- A+
研究人员已将监控工具与俄罗斯科技公司联系起来,该公司因干扰2016年美国总统大选而受到制裁。
一个前所未有的移动间谍工具,一个名为Monokle的Android移动监控软件远程访问木马(RAT),已被发现使用新技术来泄露数据。
根据在野外发现Monokle的Lookout研究人员,该恶意软件能够自我签署可信证书以拦截加密的SSL流量。 它还可以记录手机的锁屏活动以获取密码,并且可以利用辅助功能服务来访问第三方应用。
“虽然它的大多数功能都是移动监控软件的典型特征,但Monokle的独特之处在于它以新颖的方式使用现有方法,以便在数据泄露时非常有效,即使没有root访问权限,” 周三发布的一份报告称 。 “除此之外,Monokle广泛使用Android辅助功能服务来从第三方应用程序中提取数据,并使用预测文本词典来了解目标感兴趣的主题。 Monokle还将尝试在屏幕解锁事件期间录制屏幕,以便破坏用户的PIN,模式或密码。“
在具有root访问权限的自签名前端,Monokle能够在受感染设备上为受信任的证书安装其他攻击者指定的证书,“有效地将目标和设备打开到中间人(MITM)攻击TLS流量,“研究人员写道。 为此,它重新安装系统分区以在/ system / etc / security / cacerts /中安装攻击者指定的证书。
其他功能包括经典间谍软件的聚宝盆,例如能够收集联系人和日历信息,录制音频和电话,检索电子邮件和消息(包括来自WhatsApp,Skype等),拍摄照片和视频,跟踪设备位置和拍摄截图。 其他功能包括键盘记录,检索浏览和呼叫历史记录,与流行的办公应用程序交互以检索文档文本,拨打电话和发送文本消息,设备指纹识别,检索帐户和相关密码以及屏幕录制。
它还可以删除任意文件并下载新文件,重启设备并执行任意shell代码。 并且,它还可以嗅出在静止时存储用户密码时使用的盐,允许明文检索用户的密码或PIN码; 此外,它可以重置用户的PIN码。
客户端应用程序可以通过SMS消息,到侦听线程的入站TCP连接,出站信标到命令和控制的TCP连接,通过POP3和SMTP的电子邮件消息以及来电来控制。 根据Lookout的说法,出站流量似乎总是在最近的应用样本中通过TLS进行隧道传输。
目标
与大多数高级威胁武器一样,Monokle似乎非常有针对性:它通过一组非常有限的木马化应用程序进行传播,这些应用程序包含合法功能以避免用户怀疑。 Lookout观察到的样本可以追溯到2016年3月,其遥测显示活动似乎仍然很小但是一致,在2018年上半年达到峰值并持续到今天。
根据Lookout对相关应用程序的分析,Monokle很可能被用来瞄准高加索地区的个人以及对叙利亚的Ahrar al-Sham激进组织感兴趣的个人。 例如,一个名为Ahrar Maps的木马应用程序于2017年初在叙利亚进行了巡回演出,通过宣传与Ahrar al-Sham关联的第三方网站提供。
报告称,“有一些证据表明配置文件中的潜在目标和包含Monokle的应用程序的标题”。 “基于某些应用的标题和图标,我们得出结论,以下群体中的个体是Monokle的目标:对伊斯兰感兴趣的个体; 对叙利亚Ahrar al-Sham激进组织感兴趣或与之有关的个人; 居住在东欧高加索地区或与之相关的个人; 以及可能对称为“UzbekChat”的消息传递应用感兴趣的个人,他们引用了中亚国家和前苏联共和国乌兹别克斯坦。“
在Monokle的几个Android示例中,有未使用的命令和数据传输对象(DTO)表明存在iOS版本的客户端,尽管还没有看到iOS版本。
报告称,“这些类和命令似乎没有作为Android客户端的一部分用途,可能已经无意中生成并包含在其中。”
归因
在查看来自恶意软件系列的多个样本的配置文件后,Lookout发现它们依赖于至少22个不同的命令和控制服务器,并且指定了使用俄罗斯+7国家代码的控制电话。
研究人员将RAT归功于俄罗斯国防承包商特别技术中心(STC),该承包商之前曾受美国政府在奥巴马总统领导下的干涉,干预了2016年的总统大选。 Lookout的研究人员表示,该集团拥有一套软件套件,具有防御性和攻击性,可为政府客户提供服务。
报告称,“STC的Android安全套件和Monokle在签名者证书和重叠的命令和控制基础设施的帮助下相互联系”。 “与Defender应用程序[已知的STC产品]通信的命令和控制基础设施也与Monokle样本通信。 用于签署Android应用程序包的签名证书也在Defender和Monokle之间重叠。 Lookout研究人员在Monokle和STC在作者的开发和实施选择中制作的防御性安全软件中观察到了额外的重叠。“
对补丁管理更感兴趣? 不要错过 7月24日星期三美国东部时间下午2点 的免费直播 威胁邮件网络研讨会 “ 精简补丁管理”。 请加入Threatpost编辑Tom Spring和一个补丁专家小组讨论补丁管理的最新趋势,如何为您的企业找到合适的解决方案以及在部署程序时面临的最大挑战。 注册并了解更多信息