XLoader與FakeSpy的關聯以及與Yanbian Gang的關係
XLoader和FakeSpy是最近手機威脅領域兩款主流的惡意軟體家族。XLoader最早是2018年4月被報告使用DNS快取投毒或DNS欺騙技術來用惡意安卓APP從受害者裝置中竊取PII和金融資料,並安裝其他APP。研究人員今年6月釋出了FakeSpy惡意軟體的報告,它使用SMS釣魚或 ofollow,noindex">SMiShing 來進行資訊竊取攻擊。
截止10月,全球XLoader和FakeSpy攻擊的受害者共有384784個,受害者主要來自韓國和日本。
圖1. XLoader和FakeSpy攻擊的月感染量
研究人員分析發現XLoader和FakeSpy是同一組織在背後運作的。
XLoader和FakeSpy偽裝為合法APP
XLoader和FakeSpy關聯的第一個線索是XLoader今年6月偽裝成日本的家庭送貨服務公司的合法APP。而幾乎所有的FakeSpy變種都偽裝為前面提到的APP來竊取使用者敏感資訊。
深入分析XLoader和FakeSpy的活動,研究人員發現這兩款惡意軟體家族使用系統的生態系統來應用惡意軟體。研究人員7月在VirusTotal上搜索XLoader樣本發現該樣本來源於一個偽裝為日本家庭送貨服務公司的惡意域名。1個月後,研究人員分析FakeSpy樣本時發現它也來源於同一惡意域名。
圖2. VirusTotal顯示XLoader樣本來源於前面提到的域名
圖3. FakeSpy樣本也來源於同一域名
而且多個XLoader和FakeSpy樣本都顯示同樣的結果。截止發稿,研究人員共發現XLoader和FakeSpy用於應用惡意軟體的126個域名。
除此之外,研究人員還發現XLoader和FakeSpy使用的方法和C2地址都有許多相似之處,其中一些變種濫用社交媒體使用者資料來隱藏其真實C2地址。
圖4. XLoader在社交媒體使用者簡介中隱藏真實的C2地址
圖5. 社體媒體資料中的IP地址,都是以^^開頭,以$$結尾
當APP啟動時,會訪問頁面並分析內容來獲取真實的C2地址。
Yanbian Gang
分析程式碼結構以及XLoader和FakeSpy的行為,可以發現FakeSpy和 Yanbian Gang 的樣本有相關,Yanbian Gang是一個來自中國的犯罪組織,可以從韓國銀行的賬戶中偷錢。
除此之外,FakeSpy和Yanbian app都攻擊日本和韓國的網上銀行使用者,而兩款惡意軟體的運營者使用的惡意軟體都有類似的程式碼:
圖6. Yanbian Gang app中的程式碼
圖7. FakeSpy app中的程式碼
圖8. 來源於Yanbian Gang的惡意APP (上)和FakeSpy樣本(下)共享相同的元資料,其中含有受感染裝置的資訊和C2伺服器路徑
WHOIS結果說明FakeSpy和XLoader共享的惡意域名的註冊者都來自中國。註冊者的手機號顯示地是吉林省,這也是Yanbian Gang已知成員的所在地。
考慮到研究中收集到的資訊,研究人員推測Yanbian Gang與FakeSpy和XLoader存在某種聯絡。可能是兩個不同的攻擊者組織使用了相同的服務或應用基礎設施。XLoader和FakeSpy惡意軟體的流行說明使用者應該遵守手機安全的最佳實踐。
XLoader和FakeSpy惡意軟體的行為、目標、基礎設施、攻擊向量以及發展歷程參見研究報告:《 The Evolution of XLoader and FakeSpy: Two Interconnected Android Malware Families 》。