L’application Android se déchaîne : de l’enregistrement d’écran légitime à l’exfiltration de fichiers en un an | WeLiveSecurity
Les chercheurs d’ESET découvrent AhRat, un nouveau RAT Android basé sur AhMyth qui exfiltre les fichiers et enregistre l’audio
Les chercheurs d’ESET ont découvert une application Android trojanisée qui était disponible sur le Google Play Store avec plus de 50 000 installations. L’application, nommée iRecorder – Screen Recorder, a été initialement téléchargée sur le magasin sans fonctionnalité malveillante le 19 septembre.e2021. Cependant, il semble que la fonctionnalité malveillante ait été implémentée ultérieurement, très probablement dans la version 1.3.8, qui a été mise à disposition en août 2022.
- En tant que partenaire de Google App Defense Alliance, nous avons détecté une application cheval de Troie disponible sur le Google Play Store ; nous avons nommé le malware basé sur AhMyth qu’il contenait AhRat.
- Initialement, l’application iRecorder n’avait aucune fonctionnalité nuisible. Ce qui est assez rare, c’est que l’application a reçu une mise à jour contenant du code malveillant quelques mois après son lancement.
- Le comportement malveillant spécifique à l’application, qui consiste à extraire des enregistrements de microphone et à voler des fichiers avec des extensions spécifiques, indique potentiellement son implication dans une campagne d’espionnage.
- L’application malveillante avec plus de 50 000 téléchargements a été supprimée de Google Play après notre alerte ; nous n’avons détecté AhRat nulle part ailleurs dans la nature.
Il est rare qu’un développeur télécharge une application légitime, attende presque un an, puis la mette à jour avec un code malveillant. Le code malveillant qui a été ajouté à la version propre d’iRecorder est basé sur le RAT Android AhMyth open source (cheval de Troie d’accès à distance) et a été personnalisé dans ce que nous avons nommé AhRat.
Outre ce cas, nous n’avons détecté AhRat nulle part ailleurs dans la nature. Cependant, ce n’est pas la première fois que des logiciels malveillants Android basés sur AhMyth sont disponibles sur Google Play. nous avons précédemment publié nos recherches sur une telle application trojanisée en 2019. À l’époque, le logiciel espion, construit sur les fondations d’AhMyth, contournait le processus de vérification des applications de Google à deux reprises, en tant qu’application malveillante fournissant le streaming radio.
Présentation de l’application
En plus de fournir une fonctionnalité d’enregistrement d’écran légitime, l’iRecorder malveillant peut enregistrer l’audio environnant à partir du microphone de l’appareil et le télécharger sur le serveur de commande et de contrôle (C&C) des attaquants. Il peut également exfiltrer des fichiers avec des extensions représentant des pages Web enregistrées, des images, des fichiers audio, vidéo et de document, ainsi que des formats de fichiers utilisés pour compresser plusieurs fichiers, à partir de l’appareil. Le comportement malveillant spécifique aux applications exfiltrant les enregistrements de microphone et volant des fichiers avec des extensions spécifiques tend à suggérer qu’il fait partie d’une campagne d’espionnage. Cependant, nous n’avons pas été en mesure d’attribuer l’application à un groupe malveillant particulier.
En tant que partenaire de Google App Defense Alliance, ESET a identifié la version la plus récente de l’application comme étant malveillante et a rapidement partagé ses découvertes avec Google. Suite à notre alerte, l’application a été supprimée du store.
Distribution
L’application iRecorder a été initialement publiée sur le Google Play Store le 19 septembree, 2021, offrant une fonctionnalité d’enregistrement d’écran ; à cette époque, il ne contenait aucune fonctionnalité malveillante. Cependant, vers août 2022, nous avons détecté que le développeur d’applications avait inclus une fonctionnalité malveillante dans la version 1.3.8. Comme l’illustre la figure 1, en mars 2023, l’application avait accumulé plus de 50 000 installations.
Cependant, les utilisateurs d’Android qui avaient installé une version antérieure d’iRecorder (avant la version 1.3.8), qui manquait de fonctionnalités malveillantes, auraient sans le savoir exposé leurs appareils à AhRat, s’ils avaient ensuite mis à jour l’application manuellement ou automatiquement, même sans accorder toute autre approbation d’autorisation d’application.
Suite à notre notification concernant le comportement malveillant d’iRecorders, l’équipe de sécurité de Google Play l’a retiré de la boutique. Cependant, il est important de noter que l’application peut également être trouvée sur des marchés Android alternatifs et non officiels. Le développeur iRecorder fournit également d’autres applications sur Google Play, mais elles ne contiennent pas de code malveillant.
Attribution
Auparavant, l’open-source AhMyth était employé par Transparent Tribe, également connu sous le nom d’APT36, un groupe de cyberespionnage connu pour son utilisation intensive des techniques d’ingénierie sociale et ciblant les organisations gouvernementales et militaires en Asie du Sud. Néanmoins, nous ne pouvons pas attribuer les échantillons actuels à un groupe spécifique, et rien n’indique qu’ils aient été produits par un groupe de menace persistante avancée (APT) connu.
Analyse
Au cours de notre analyse, nous avons identifié deux versions de code malveillant basées sur AhMyth RAT. La première version malveillante d’iRecorder contenait des parties du code malveillant d’AhMyth RAT, copiées sans aucune modification. La deuxième version malveillante, que nous avons nommée AhRat, était également disponible sur Google Play, et son code AhMyth a été personnalisé, y compris le code et la communication entre le serveur C&C et la porte dérobée. Au moment de cette publication, nous n’avions observé AhRat dans aucune autre application Google Play ou ailleurs dans la nature, iRecorder étant la seule application contenant ce code personnalisé.
AhMyth RAT est un outil puissant, capable de diverses fonctions malveillantes, notamment l’exfiltration des journaux d’appels, des contacts et des messages texte, l’obtention d’une liste de fichiers sur l’appareil, le suivi de l’emplacement de l’appareil, l’envoi de messages SMS, l’enregistrement audio et la prise de photos. Cependant, nous n’avons observé qu’un ensemble limité de fonctionnalités malveillantes dérivées du AhMyth RAT original dans les deux versions analysées ici. Ces fonctionnalités semblaient correspondre au modèle d’autorisations d’application déjà défini, qui accorde l’accès aux fichiers sur l’appareil et permet l’enregistrement de l’audio. Notamment, l’application malveillante fournissait une fonctionnalité d’enregistrement vidéo, de sorte qu’elle devait demander l’autorisation d’enregistrer de l’audio et de la stocker sur l’appareil, comme illustré à la figure 2. Lors de l’installation de l’application malveillante, elle s’est comportée comme une application standard sans aucune particularité. demandes d’autorisation supplémentaires qui auraient pu révéler ses intentions malveillantes.
Figure 2. Autorisations demandées par l’application iRecorder
Après l’installation, AhRat commence à communiquer avec le serveur C&C en envoyant des informations de base sur l’appareil et en recevant des clés de chiffrement et un fichier de configuration chiffré, comme illustré à la figure 3. Ces clés sont utilisées pour chiffrer et déchiffrer le fichier de configuration et certaines des données exfiltrées, telles que comme la liste des fichiers sur l’appareil.
Après la communication initiale, AhRat envoie un ping au serveur C&C toutes les 15 minutes, demandant un nouveau fichier de configuration. Ce fichier contient une gamme de commandes et d’informations de configuration à exécuter et à définir sur l’appareil ciblé, y compris l’emplacement du système de fichiers à partir duquel extraire les données utilisateur, les types de fichiers avec des extensions particulières à extraire, une limite de taille de fichier, la durée de microphone enregistrements (tel que défini par le serveur C&C ; lors de l’analyse, il a été défini sur 60 secondes) et l’intervalle de temps d’attente entre les enregistrements de 15 minutes, qui correspond également au moment où le nouveau fichier de configuration est reçu du serveur C&C.
Fait intéressant, le fichier de configuration décrypté contient plus de commandes qu’AhRat n’est capable d’exécuter, car certaines fonctionnalités malveillantes n’ont pas été implémentées. Cela peut indiquer qu’AhRat est une version allégée similaire à la version initiale qui ne contenait que du code malveillant non modifié du AhMyth RAT. Malgré cela, AhRat est toujours capable d’exfiltrer des fichiers de l’appareil et d’enregistrer de l’audio à l’aide du microphone de l’appareil.
Sur la base des commandes reçues dans la configuration du serveur C&C, AhRat devrait être capable d’exécuter 18 commandes. Cependant, le RAT ne peut exécuter que les six commandes de la liste ci-dessous marquées en gras et avec un astérisque :
- RECORD_MIC*
- CAPTURE D’ÉCRAN
- EMPLACEMENT
- JOURNAL D’APPEL
- KEYLOG
- NOTIFICATION
- SMS
- OTT
- WIFI
- APP_LIST
- AUTORISATION
- CONTACT
- FILE_LIST*
- TÉLÉCHARGER_FILE_AFTER_DATE*
- LIMIT_UPLOAD_FILE_SIZE*
- TÉLÉCHARGER_FILE_TYPE*
- TÉLÉCHARGER_FILE_FOLDER*
- SCHEDULE_INTERVAL
L’implémentation de la plupart de ces commandes n’est pas incluse dans le code des applications, mais la plupart de leurs noms sont explicites, comme le montre également la figure 4.
Au cours de notre analyse, AhRat a reçu des commandes pour exfiltrer des fichiers avec des extensions représentant des pages Web, des images, des fichiers audio, vidéo et de documents, ainsi que des formats de fichiers utilisés pour compresser plusieurs fichiers. Les extensions de fichier sont les suivantes : zipper, rare, jpg, JPEG, jpe, jif, jfif, jfi, png, mp3, mp4, mkv, 3gp, m4v, mov, avi, gif, webp, tiff, tif, heif, heic, bmp, dib, svg, ai, eps, pdf, doc, docx, html, htm, odt, pdf, xls, xlsx, ods, ppt, pptx, et SMS.
Ces fichiers étaient limités à une taille de 20 Mo et se trouvaient dans le répertoire de téléchargement /stockage/émulé/0/Télécharger.
Les fichiers localisés ont ensuite été téléchargés sur le serveur C&C, comme le montre la figure 5.
Conclusion
La recherche AhRat est un bon exemple de la façon dont une application initialement légitime peut se transformer en une application malveillante, même après plusieurs mois, en espionnant ses utilisateurs et en compromettant leur vie privée. Bien qu’il soit possible que le développeur de l’application ait eu l’intention de constituer une base d’utilisateurs avant de compromettre ses appareils Android via une mise à jour ou qu’un acteur malveillant ait introduit ce changement dans l’application ; jusqu’à présent, nous n’avons aucune preuve pour l’une ou l’autre de ces hypothèses.
Heureusement, des mesures préventives contre de telles actions malveillantes ont déjà été mises en œuvre dans Android 11 et les versions supérieures sous la forme de l’hibernation de l’application. Cette fonctionnalité place efficacement les applications inactives depuis plusieurs mois dans un état d’hibernation, réinitialisant ainsi leurs autorisations d’exécution et empêchant les applications malveillantes de fonctionner comme prévu. L’application malveillante a été supprimée de Google Play après notre alerte, ce qui confirme que la nécessité d’une protection à travers plusieurs couches, comme ESET Mobile Security, reste essentielle pour protéger les appareils contre d’éventuelles failles de sécurité.
L’AhRat contrôlé à distance est une personnalisation de l’AhMyth RAT open-source, ce qui signifie que les auteurs de l’application malveillante ont investi des efforts considérables pour comprendre le code de l’application et du back-end, l’adaptant finalement à leurs propres besoins.
Le comportement malveillant d’AhRats, qui comprend l’enregistrement audio à l’aide du microphone de l’appareil et le vol de fichiers avec des extensions spécifiques, peut indiquer qu’il faisait partie d’une campagne d’espionnage. Cependant, nous n’avons pas encore trouvé de preuves concrètes qui nous permettraient d’attribuer cette activité à une campagne ou à un groupe APT particulier.
IoCS
Des dossiers
SHA-1 | Nom du paquet | Nom de détection ESET | Description |
---|---|---|---|
C73AFFAF6A9372C12D995843CC98E2ABC219F162 | com.tsoft.app.iscreenrecorder | Android/Spy.AhRat.A | Porte dérobée AhRat. |
E97C7AC722D30CCE5B6CC64885B1FFB43DE5F2DA | com.tsoft.app.iscreenrecorder | Android/Spy.AhRat.A | Porte dérobée AhRat. |
C0EBCC9A10459497F5E74AC5097C8BD364D93430 | com.tsoft.app.iscreenrecorder | Android/Espion.Android.CKN | Porte dérobée basée sur AhMyth. |
0E7F5E043043A57AC07F2E6BA9C5AEE1399AAD30 | com.tsoft.app.iscreenrecorder | Android/Espion.Android.CKN | Porte dérobée basée sur AhMyth. |
Réseau
IP | Fournisseur | Vu la première fois | Détails |
---|---|---|---|
34.87.78[.]222 | Namecheap | 2022-12-10 | commande.80876dd5[.]boutique Serveur C&C. |
13.228.247[.]118 | Namecheap | 2021-10-05 | 80876dd5[.]boutique:22222 Serveur C&C. |
Techniques MITRE ATT&CK
Cette table a été construite à l’aide de la version 12 du framework MITRE ATT&CK.
Tactique | IDENTIFIANT | Nom | Description |
---|---|---|---|
Persistance | T1398 | Scripts d’initialisation de démarrage ou de connexion | AhRat reçoit le BOOT_COMPLETED diffuser l’intention d’activer au démarrage de l’appareil. |
T1624.001 | Exécution déclenchée par un événement : récepteurs de diffusion | La fonctionnalité AhRat est déclenchée si l’un de ces événements se produit : CONNECTIVITY_CHANGEou WIFI_STATE_CHANGED. | |
Découverte | T1420 | Découverte de fichiers et de répertoires | AhRat peut lister les fichiers disponibles sur le stockage externe. |
T1426 | Découverte des informations système | AhRat peut extraire des informations sur l’appareil, y compris l’ID de l’appareil, le pays, le fabricant et le mode de l’appareil, ainsi que des informations système communes. | |
Collection | T1533 | Données du système local | AhRat peut exfiltrer des fichiers avec des extensions particulières à partir d’un appareil. |
T1429 | Capture audio | AhRat peut enregistrer l’audio environnant. | |
Commander et contrôler | T1437.001 | Protocole de couche application : protocoles Web | AhRat utilise HTTPS pour communiquer avec son serveur C&C. |
Exfiltration | T1646 | Exfiltration sur canal C2 | AhRat exfiltre les données volées sur son canal C&C. |