Шпионская кампания захлестнула Android-устройства
Безопасность Android
Начиная с 2012 года на мобильных устройствах действует масштабная шпионская кампания по сбору конфиденциальных и персональных данных, если верить свежему докладу ИБ-компании Lookout и Фонда электронных рубежей (EFF).

Согласно 51-страничному докладу, опубликованному в четверг, в рамках этой APT-кампании, получившей название Dark Caracal, преступникам удалось украсть сотни гигабайт данных, включая личные сведения и интеллектуальную собственность. Атаки затронули 21 страну, а возможно, и больше.

При этом кампания не ограничена одной платформой. Судя по докладу, на Dark Caracal указывают 90 различных индикаторов заражения, из которых 26 относятся к настольным вредоносным программам, 11 — к зловредам на Android и 60 — к определенным доменам и IP-адресам.

В список основных целей APT-кампании входят:

Организаторы кампании Dark Caracal воровали у жертв документы, аудиозаписи, фотографии, текстовые сообщения и другие данные. По мнению исследователей, глобальные операции Dark Caracal, возможно, связаны с ливанской разведкой.

Новое исследование опирается на предыдущий доклад под авторством EFF — об Operation Manul. Он разоблачает схожую шпионскую кампанию, нацеленную против журналистов, диссидентов и недовольных режимом президента Казахстана Нурсултана Назарбаева.

По окончании расследования специалисты Lookout и EFF заключили, что кампания Dark Caracal полагается на ту же инфраструктуру, что и Operation Manul, а значит, она не принадлежит какому-либо одному государству.

В действительности, как полагают исследователи, на базе Dark Caracal в настоящий момент могут проводиться шесть отдельных кампаний, в том числе одна, запущенная в 2012 году.

 Прорыв в расследовании произошел в июле 2017 года, когда исследователи обнаружили командный сервер с 81 Гбайт скомпрометированных данных, связанный с Dark Caracal. Примерно 60% информации хакеры добыли с Android-устройств, остальные сведения поступили с компьютеров на ОС Windows.

Организаторы кампании Dark Caracal применяют фишинговые сообщения трех типов, рассылая их через посты в группах Facebook и через WhatsApp.

Каждое сообщение призвано заманить владельцев мобильных устройств на зараженный сайт по методу watering hole. Каждый из таких сайтов отдает зловред Pallas через троянизированные приложения, такие как WhatsApp, Signal и Tor. Если закрыть глаза на воровство данных, приложения-реплики в остальном ведут себя, как полнофункциональные «чистые» версии. При установке пользователи дают им нужные разрешения, с которыми злоумышленники получают доступ к конфиденциальным данным.

На настольных системах Dark Caracal действует через трояны, встроенные в исполняемые файлы, и вредоносные вложения в виде ZIP-архивов, PDF-документов и других типов файлов, также распространяемых методом целевого фишинга.

Злоумышленники ведут кампанию через «расширяемую инфраструктуру», преимущественно размещенную на пуленепробиваемом хостинге Shinjiru. Там же преступники хранят краденые данные, размещают свой магазин зараженных приложений для Android и выполняют ряд других задач.

В C&C-сервере Dark Caracal, размещенном у Shinjiru (в сентябре он был перенесен к другому хостеру), исследователи обнаружили серьезную брешь:

«На командном сервере adobeair[.]net остался включенным модуль mod_status в Apache. В результате в открытом доступе остались сведения об активности сервера и его производительности, а в разделе /server-status можно было найти подробности о подключенных клиентах и запрашиваемых ими ресурсах сервера. Программно отслеживая поток данных с этой страницы, мы смогли идентифицировать IP-адреса зараженных клиентов и администраторов, обращающихся к консоли».

Учитывая, что владельцы инфраструктуры охотнее атакуют Windows и серверное ПО XAMPP, чем более распространенный стек LAMP, у исследователей появился «уникальный отпечаток», по которому можно отслеживать злоумышленников.

Эксперты Lookout и EFF смогли отследить расположение ряда устройств, которые организаторы Dark Caracal используют для тестирования и управления, и следы привели к зданию Главного управления общей безопасности Ливана (GDGS).

«Имеющиеся у нас доказательства говорят в пользу того, что управление GDGS, скорее всего, связано с организаторами кампании Dark Caracal или напрямую поддерживает их», — пишут авторы отчета.

При этом исследователи подчеркнули, что это же вредоносное ПО также применяется другими группами. Судя по всему, инструментарий Dark Caracal сдается внаем, а не связан с конкретным государством.

Несмотря на широкий охват кампании Dark Caracal, стоящие за ней злоумышленники не отличаются изощренностью и допускают глупые ошибки, о чем свидетельствует ситуация с выставленным напоказ командным сервером.

«Очевидно, что кто-то на скорую руку сконфигурировал и запустил сервер, не задумываясь особо о надлежащей безопасности», — заявил журналиcтам Threatpost Майкл Флоссман (Michael Flossman), руководитель исследовательского отдела Lookout.

Он считает, что ИБ-эксперты могут без проблем перечислить ряд дилетантских решений Dark Caracal.

«Во-первых, не стоить переоценивать техническую квалификацию, которой должны обладать злоумышленники, чтобы добиться успеха в этом деле, — отметил Флоссман. — Во-вторых, мы наблюдаем, что хакерские группы все чаще нацеливаются на мобильные устройства. Убедитесь, что у вас хорошая видимость в организации и есть действенные инструменты, позволяющие отслеживать, что творится на этих endpoint-устройствах».

Мобильная часть исследования легла на плечи Lookout, а настольная — на EFF, при этом команды совместными усилиями разбирали по полочкам инфраструктуру Dark Caracal.

В охвате кампании Dark Caracal в настоящий момент существует огромный пробел.

«Мы не увидели каких-либо признаков совместимости с iOS», — комментирует Флоссман. Эксперт полагает, что это обусловлено доминирующим положением ОС Android в целевых географических регионах, но не исключает возможности миграции Dark Caracal на мобильную платформу Apple.