「虛擬女友 」來了 ! Android和 Windows用戶當心雙平台間諜軟體偽裝成人遊戲 刷爆信用卡 盜密碼

趨勢科技發現一個會竊取個資的多平台間諜軟體: Maikspy,目標是Windows和Android使用者,該間諜軟體偽裝成人遊戲: Virtual Girlfriend(虛擬女友)。Android 用戶若感染了該間諜軟體,通話時它會偷偷錄音和竊取設備所在位置、簡訊、聯絡人和

WhatsApp資料庫等資訊。最新的變種還可以竊取剪貼簿、本機號碼、已安裝應用程式列表和帳號等資訊。

「虛擬女友 」來了 ! Android和 Windows用戶當心雙平台間諜軟體偽裝成人遊戲 刷爆信用卡 盜密碼

安裝惡意Virtual Girlfriend(虛擬女友)應用程式後,間諜軟體會秀出線上約會詐騙網站,當使用者進行註冊時,駭客不僅可以取得受害者的信用卡資料,還會取得註冊該網站時的刷卡費用。

另外,趨勢科技也發現 Windows使用者在瀏覽特定網頁時可能會被安裝 Chrome 擴充功能(VirtualGirlfriend.crx)。當下載此擴充功能時,會指示受害者將其加入瀏覽器。接著 Maikspy 就能收集從網頁輸入的使用者名稱和密碼。

如果你授權它使用你的Twitter帳號,作者可以利用這個帳號來使用自動化工具散播廣告。 * __*

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位

「虛擬女友 」來了 ! Android和 Windows用戶當心雙平台間諜軟體偽裝成人遊戲 刷爆信用卡 盜密碼

PCcillin  雲端版超強 跨平台 防護, 同時支援PC、Mac及Android智慧手機與平板電腦,一組序號可安裝在不同上網設備,讓您不管在何時、何地都能獲得 跨平台 的防護。

趨勢科技發現了稱為Maikspy的惡意軟體家族,這是會竊取使用者私人資料的多平台間諜軟體。這系列間諜軟體的目標是Windows和Android使用者,一開始出現就用成人遊戲作為偽裝,使用熱門美國AV女星來命名。Maikspy這個結合AV女星和間諜軟體的名稱從2016年開始出現。

根據分析最新Maikspy變種的結果顯示,使用者從感染了間諜軟體,這網站會散播惡意應用程式(包括2016年的成人遊戲),連到其C&C伺服器來從上傳中毒設備和電腦的資料。有多個Twitter帳號廣告了這款被稱為Virtual Girlfriend(虛擬女友)的成人遊戲,並透過短網址分享惡意網站。

Figure 1. Tweets that mention Virtual Girlfriend and the short link of hxxp://miakhalifagame[.]com/

圖1 、提到Virtual Girlfriend 的推特文章

Android * _平台上的Maikspy_*

Figure 2. Infection chain of Maikspy Android variant

圖2 、Maikspy Android 變種的感染鏈

根據2018年3月所看到樣本的分析,Maikspy變種(趨勢科技偵測為AndroidOS_MaikSpy.HRX)在Android上偽裝成Virtual Girlfriend軟體,誘騙使用者連到駭客的惡意網域。當使用者點開Twitter上的短網址,會出現顯示性別選項的頁面,接著出現讓使用者選擇“第一位女朋友”的頁面,並引導進入下載網頁。

Figure 3. Virtual Girlfriend’s option buttons \(first and second screen from the left\) and download page \(third screen\)

圖3 、Virtual Girlfriend 的選項頁面(左側的第一和第二個畫面)和下載網頁(第三個畫面)

當下載並啟動APK檔案,它會將中毒設備的Unix時間戳記送到使用瑞典國碼的電話號碼0046769438867。這行為應該是在註冊設備ID:

Figure 4. Code snippet of the device’s Unix timestamp being sent to 0046769438867

圖4 、將設備Unix 時間戳記發送到0046769438867 的程式碼片段

“Error: 401. App not compatible. Uninstalling…“,安裝失敗?其實間諜軟體只是將自己隱藏起來並在背景執行

接著,Maikspy應用程式會顯示“Error: 401. App not compatible. Uninstalling…“,試圖欺騙使用者已經刪除了應用程式。但其實間諜軟體只是將自己隱藏起來並在背景執行。惡意應用程式會先檢查所需要的權限,然後繼續以下行為:

  • 竊取電話號碼
  • 竊取帳號
  • 竊取已安裝應用程式列表
  • 竊取聯絡人
  • 竊取簡訊

竊取的資料會被寫成.txt或.csv格式,然後上傳到C&C伺服器。

上傳了上述資料後,惡意應用程式會每60秒檢查一次來自C&C伺服器的命令。以下是所支援的命令:

命令 | 敘述
---|---
startrecording | 開始錄下設備周圍的聲音
stoprecording | 停止錄音
uploaddata | 上傳/sdcard/DCIM,/sdcard/Downloads,/sdcard/Movies, /sdcard/Pictures,/sdcard/Documents的檔案
getnumber | 取得並上傳電話號碼
getclipboard | 取得並上傳剪貼簿內容
sms- | 發送簡訊
get- | 取得並上傳特定檔案
getcontacts | 取得並上傳聯絡人
getinstalledapps | 取得並上傳已安裝應用程式列表
getmsgdata | 取得並上傳收到的簡訊
getmsgdatasent | 取得並上傳送出的簡訊
getaccounts | 取得並上傳帳號
tree | 取得並上傳特定資料夾檔案列表

當首次執行Virtual Girlfriend時,惡意應用程式會結合Unix時間戳記、設備藍牙裝置名稱和使用者Twitter帳號來作為設備識別名稱:TimestampBTAdapterNameTwitterAccount。如果使用者沒有Twitter應用程式,就只會用一個空字串(“”)。如果使用者有多個Twitter帳號,間諜軟體會使用登入中的帳號。

Figure 5. Code snippet of the process where the Unix timestamp, the device’s Bluetooth adapter name, and the name of user’s Twitter account are combined to produce a device identification name

圖5 、將Unix 時間戳記,設備藍牙裝置名稱和使用者Twitter 帳號組合在一起生成設備識別名稱的程式碼片段

此外,間諜軟體在首次安裝時會出現以下頁面:

Figure 6. The spyware displays the online dating scam website upon the installation of the malicious Virtual Girlfriend app

圖6 、安裝惡意Virtual Girlfriend 應用程式後,間諜軟體會秀出線上約會詐騙網站

線上交友網站的註冊頁面被用來誘騙使用者的信用卡資料。當使用者進行註冊時,信用卡會收取費用。這是當資料上傳時在網頁右下角隱藏的iframe(紅色底線)所造成。所以駭客不僅可以取得受害者的信用卡資料,還會取得向信用卡所收的費用,只要使用者沒有要求退費。

Windows * _平台上的Maikspy_*

Figure 7. Infection chain of Maikspy Windows variant

圖7 、Maikspy Windows 變種的感染鏈

Figure 8. These buttons greet users who clicked the Twitter short link of hxxp://miakhalifagame[.]com/

圖8 、使用者點擊Twitter 短連結後 所出現的畫面

2017年4月出現的Maikspy Windows變種(WORMINFOKEY.A)會誘騙使用者下載 _MiaKhalifa.rar 檔案,裡面包含下列檔案:

Figure 9. Content of the MiaKhalifa.rar file

圖9 、MiaKhalifa.rar 檔案內容

README.txt 提供使用者如何關閉防病毒軟體及開啟網路的說明,駭客需要竊取資料並上傳到C&C伺服器。

Figure 10. Content of README.txt

圖10 、README.txt 的內容

register.bat 用來取得管理員權限。

Figure 11. Code snippet of register.bat

圖11 、register.bat 的程式碼片段

Uninstall.exe 其實是開放原始碼的駭客工具Mimikatz,可從記憶體內取得未加密的密碼、雜湊值和Kerberos憑證)。而在這裡, Uninstall.exe 被用來取得Windows帳號和密碼,再將結果寫入C:\Users\%username%\AppData\local\password.txt。

Setup.exe 是竊取資料的核心模組。就跟Android版的Maikspy一樣,它會先連到C&C伺服器來註冊設備。

Figure 12. Code snippet of notification being sent to the C&C server to register the device

圖12 、連到C &C 伺服器註冊設備的程式碼片段

接著,它會到下列資料夾取得.jpg、.jpeg、.png、.txt、.wav、.html、.doc、.docx和.rtf檔案:C:/Users/%username%/Desktop、C:/Users/%username%/Pictures、C:/Users/%username%/Documents和C:/Users/%username%/Downloads。也會偷走資料夾的檔案列表。接著在上傳到C&C伺服器前先將它們寫入檔案。

Figure 13. Code snippets of the scanning, fetching, and uploading of .jpg, .jpeg, .png, .txt, .wav, .html, .doc, .docx and .rtf files \(left\). It also steal information about the machine’s system i.e. default browser, OS version, Firefox version, Chrome version, IE version and Network configuration \(right\).

圖13 、掃描、取得和上傳.jpg、.jpeg、.png、.txt、.wav、.html、.doc、.docx和.rtf檔案的程式碼片段 (左)。它還會取得系統相關資訊,像是預設瀏覽器、作業系統版本、 Firefox 版本、Chrome 版本、IE 版本和網路設定(右)。

趨勢科技發現Windows使用者在瀏覽hxxp://miakhalifagame[.]com時可能會被安裝Chrome擴充功能(VirtualGirlfriend.crx)。當下載此擴充功能(BREX_INFOSTEAL.A)時,會指示受害者如何將其加入瀏覽器。接著惡意軟體就能收集從網頁輸入的使用者名稱和密碼,再將其送到hxxps://miakhalifagame[.]com/testinn[.]php。

Figure 14. Instructions given to the user on how to load the malicious Chrome extension

圖14 、向用戶說明如何安裝惡意Chrome 擴充功能

Figure 15. Code snippet of the malicious extension plugin

圖15 、惡意擴充功能的程式碼片段

Round Year Fun * _和Maikspy_* * _間的關聯_*

我們檢視了廣告Virtual Girlfriend的推特帳號(見圖1)。Twitter帳號名稱是Round Year Fun,它的推文都是在廣告遊戲。

Figure 16. Twitter homepage of Round Year Fun

圖16 、Round Year Fun 的Twitter 首頁

Twitter上廣告遊戲的網站。如下圖所示,它提供的並不只有Virtual Girlfriend。檢查此網站的暫存版本後,我們發現它也被用來散播Maikspy攻擊者第一次所用的成人遊戲。

Figure 17. Virtual Girlfriend in the list of games advertised by hxxp://www[.]roundyearfun[.]org

圖17 廣告遊戲列表中的Virtual Girlfriend

Figure 18. The adult game first used by the attackers was also found in the list of games advertised by hxxp://www[.]roundyearfun[.]org

圖18、駭客第一次使用的成人遊戲也在 廣告遊戲列表中找到

我們的分析顯示Twitter上廣告遊戲的網站。也被用作儲存受害者資料的C&C網址。惡意軟體也跟Virtual Girlfriend共用相同憑證。

Figure 19. Round Year Fun logo found at Maikspy’s malicious domain

19 、在 Maikspy 惡意網域發現的 Round Year Fun 圖示

我們在Round Year Fun所提供遊戲發現了另外一件事,如果你授權它使用你的Twitter帳號,作者可以利用這個帳號來使用自動化工具廣告遊戲。作者使用圖1中的另一個Twitter帳號(rifusthegr8)來廣告Virtual Girlfriend,並轉推Round Year Fun自己推特上的遊戲廣告。

Maikspy * _從_* * _2016_* * _年到_* * _2018_* * _年的發展歷史_*

第一個Maikspy變種在2016年12月出現在Windows平台。偽裝成用AV女星命名的成人遊戲。它可以自我更新,並且會竊取放在桌面、圖片、文件和下載資料夾內的.jpg、.jpeg、.png、.txt、.wav、.html、.doc、.docx和.rtf檔案,還有本機內IE、Chrome、Firefox或預設瀏覽器的相關資料,以及作業系統資訊和網路設定。這個間諜軟體會連到107[.]180[.]46[.]243。

而這間諜軟體的第一款Android變種出現在2017年1月。也同樣利用之前所提的成人遊戲幌子,連到同一個C&C伺服器。它可以錄下通話和竊取設備位置、簡訊、聯絡人和WhatsApp資料庫等資訊,並且能夠錄下設備周圍的聲音。下一個變種很快就出現,加入了以下功能:竊取剪貼簿、本機號碼、已安裝應用程式列表和帳號等資訊。同時移除了竊取WhatsApp資料庫的能力。它也改變了命令格式。

在2017年3月,出現了另一個新變種,可以在使用者用相機拍照時竊取照片。程式碼結構和套件名稱也發生了變化,C&C地址也改到了198[.]12[.]155[.]84。

到了2017年4月,最新的Windows版本Maikspy出現並有了以下變動:C&C服務器更改為198[.]12[.]155[.]84,並且會竊取密碼以及.doc、.docx和.rtf檔案。

在2017年6月到12月之間,Android變種出現以下變動:C&C服務器變更為192[.]169[.]217[.]55,移除錄下通話的能力,接著C&C伺服器再次改為198[.]12[.]149[.]13。

在2018年1月,Android變種的應用程式名稱改為Virtual Girlfriend。攻擊者會用HTTP協定傳輸資料。也移除了竊取位置和圖片的能力。

Maikspy * _所用變種和_* * _C &C_* * _伺服器間的關係_*

Maikspy攻擊者在這些年來變更了網域和IP地址,但這些都是由美國的一家上市網域名稱註冊商和網站代管公司代管。下圖顯示出2016年到2018年間的Maikspy變種跟C&C伺服器的關聯(附錄中提供更多細節以及Android和Windows變種的雜湊值):

Figure 20. The connection of Maikspy variants to 198[.]12[.]155[.]84, hxxp://roundyearfun[.]org/, and 192[.]169[.]217[.]55. Note: The green nodes represent Android samples, while the blue nodes represent Windows samples.

20 Maikspy 變種, 綠色節點代表 Android 樣本,而藍色節點代表 Windows 樣本。

Figure 21. Connection of Maikspy variants to 107[.]180[.]46[.]243 and hxxp://fakeomegle[.]com

Figure 22. Connection of Maikspy variants to 198[.]12[.]149[.]13and hxxp://miakhalifagame[.]com/

對策

只從合法應用程式商店(如Google Play)下載應用程式能夠防止Maikspy危害電腦和行動設備。更重要的一點是,接受任何條款或授予權限之前,要先了解允許了哪些應用程式取得了什麼權限,以及可能帶來的風險

趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習技術來涵蓋Android和iOS威脅。能夠保護使用者解決惡意軟體、零時差攻擊和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。

PCcillin  雲端版超強 跨平台 防護, 同時支援PC、Mac及Android智慧手機與平板電腦,一組序號可安裝在不同上網設備,讓您不管在何時、何地都能獲得 跨平台 的防護。➔即刻免費下載試用

企業可以使用趨勢科技的行動安全防護Mobile Security,提供設備、合規和應用程式管理,資料保護和設定配置,並且保護設備對抗漏洞攻擊,防止未經授權存取,以及偵測和封鎖惡意軟體及詐騙網站。

趨勢科技”Deep Discovery進階網路安全防護 威脅防護平台讓企業能夠偵測、分析和回應現代威脅,如複雜惡意軟體、針對性攻擊和進階持續性威脅(APT)。

趨勢科技的Smart Protection for Endpoints具備最強的XGen安全防護技術,將高保真機器學習融入混合式的威脅防護技術,消除使用者和端點系統的安全間隙,對進階威脅提供最廣泛的防護。

@原文出處:Maikspy Spyware Poses as Adult Game, Targets Windows and Android Users 作者:Ecular Xu和Grey Guo(行動威脅回應團隊

相關文章