Pawn Storm Update: iOS-Spionage-App gefunden

Originalartikel von Lambert sun, Brooks Hong (Mobile Threat Analysts), Feike Hacquebord (Senior Threat Researcher)

Im Zuge der Erforschung von Operation Pawn Storm fanden die Trend Micro-Bedrohungsforscher eine interessante, verseuchte Pawn Spyware, die speziell auf die Ausspionierung von iOS-Geräten zugeschnitten ist. Schon allein eine Spyware, die Apple-Nutzer zum Ziel hat, ist bemerkenswert, doch Pawn ist auch an einem zielgerichteten Angriff beteiligt.
Hintergrund der Operation Pawn Storm

Operation Pawn Storm ist eine aktive wirtschaftliche und politische Cyberspionage-Operation, die eine Reihe von Organisationen etwa aus dem militärischen, Regierungs- und Rüstungsindustrie-Bereich sowie die Medien im Visier hat. Die Hintermänner starten zuerst eine Reihe von unterschiedlichen Aktionen in der Hoffnung, ihren tatsächlichen prominenten Zielen näher zu kommen. Sobald es ihnen gelungen ist, ein solches Ziel zu infizieren, entscheiden sie über den nächsten Schachzug – die fortgeschrittene Spionagesoftware.

Die entdeckte iOS-Schadsoftware gehört zu dieser Art fortgeschrittener Malware. Die Bedrohungsforscher nehmen an, dass die Schadsoftware auf bereits kompromittierten Systemen installiert wird. Sie ist der SEDNIT-Schadsoftware für Windows-Systeme sehr ähnlich.

Die Forscher fanden zwei bösartige iOS-Anwendungen in Operation Pawn Storm. Die eine ist Xagent (als IOS_XAGENT.A) und die andere nutzt den Namen eines legitimen iOS-Spiels MadCap (IOS_ XAGENT.B). Die Analyse ergab, dass beide mit SEDNIT zusammenhängen.

Das klare Ziel von SEDNIT-bezogener Spyware ist der Diebstahl persönlicher Daten, Tonaufnahmen, das Erstellen von Screenshots und deren Versand an einen Remote Command-and-Control (C&C)-Server. Noch ist der C&C-Server für die iOS-Malware aktiv.

Analyse von XAgent

Die XAgent App ist eine vollständig funktionsfähige Malware. Nach ihrer Installation auf iOS 7 wird der Icon der App versteckt, und sie läuft sofort im Hintergrund. Der Versuch, sie zu stoppen, indem der Prozess gekillt wird, schlägt fehl, denn sie startet sofort neu.

Die Installation der Schadsoftware auf einem iOS 8-Gerät führt zu anderen Ergebnissen. Der Icon wird nicht versteckt, und sie kann auch nicht sofort wieder starten. Dies lässt darauf schließen, dass die Spyware entwickelt wurde, bevor iOS 8 im September 2014 auf den Markt kam.

Datendiebstahls-Funktionalität

Die App ist darauf ausgerichtet, alle Arten von Informationen auf einem iOS-Gerät zu sammeln. Sie kann die folgenden Routinen ausführen:

  • Sammeln von Textnachrichten
  • Holen von Kontaktlisten
  • Holen von Bildern
  • Sammeln von Geo-Location-Daten
  • Starten einer Tonaufnahme
  • Holen einer Liste installierter Apps
  • Holen einer Liste von Prozessen
  • Holen des WLAN-Status

Bild 1. Xagent-Codestruktur

C&C-Kommunikation

Neben der Informationssammlung vom iOS-Gerät verschickt die App die Informationen über http. Sie nutzt einen POST-Request, um Nachrichten zu verschicken, und GET für das Erhalten von Befehlen.

Formattierte Lognachrichten

Die Lognachrichten der Schadsoftware sind in HTML verfasst und farblich codiert, sodass sie einfacher zu lesen sind.


Bild 2. Farblich codierte HTML-Lognachrichten

Eine gut designte Codestruktur

Die Codestruktur ist sehr gut organisiert. Die Schadsoftware macht einen sorgfältig gepflegten Eindruck und ist konsistent aktualisiert.


Bild 3. Xagent-Codestruktur

Die App nutzt die Befehle watch, search, find, results, open und close.


Bild 4. Liste von grundlegenden URIs

Zufallsgenerierte URI

Der vollständige Uniform Resource Identifier (URI) für C&C HTTP Requests ist zufallsgeneriert, einer mit dem C&C-Server abgestimmten Vorlage folgend. Bild 4 zeigt die Basis-URI. Die Parameter werden von unten stehender Liste gewählt und der URI angehängt.


Bild 5. Liste der Parameters für URIs

Die Bilder zeigen die entsprechenden Implementierungen, die das Reverse Engineering hervorgebracht hat:




Bilds 6 und 7. Code für URI-Generierung

Token-Format und Codierung

Die Schadsoftware nutzt einen Token, um festzustellen, welches Modul kommuniziert. Der Token besteht aus mit Base64 codierten Daten und hat ein 5-Byte Zufalls-Präfix . So sieht er aus wie gültige Base64-Daten (siehe die erste Zeile “ai=” part im Bild):


Bild 8. Client (XAgent) Request

Reverse Engineering zeigte auch zusätzliche Kommunikationsfunktionen.

Bild 9. http-Kommunikationsfunktionen


Bild 10. C2-Server

FTP-Kommunikation

Die App kann auch Dateien mit dem FTP-Protokoll hochladen.


Bild 11. FTP-Kommunikationsfunktionen

Analyse von “MadCap”

“Madcap” ähnelt der Xagent-Schadsoftware, doch ist erstere auf Tonaufnahmen fokussiert. “Madcap” kann nur auf jailbroken Geräten installiert werden.


Bild 12. Codestruktur von Madcap

Mögliche Infektionsmethoden

Die genauen Methoden zum Installieren der Malware sind nicht bekannt. Bekannt ist, dass das iOS-Gerät nicht per se jailbroken sein muss. Es gab eine Instanz, wo ein Köder in Verbindung mit XAgent aufforderte: „Zum Installieren der Anwendung hier antippen“. Die App nutzt Apples Adhoc-Provisionierung, die Standardverteilmethode für iOS-Appentwickler. Damit lässt sich die Schadsoftware mit dem Anklicken eines Links (siehe Bild) installieren. Der Link führt zu https://www.{BLOCKED}/adhoc/XAgent.plist, einem Service, der Applikationen drahtlos installiert.


Bild 13. Für das Download des XAgent genutzte Site

Es mag weitere Methoden für die Infektion geben, Ein potenzielles Szenarion ist die Infektion eines iPhones, nachdem dieses sich mit einem kompromittierten oder infizierten Windows Laptop über ein USB-Kabel verbunden hat.

Weitere Einzelheiten dazu bietetOperation Pawn Storm Using Decoys to Evade Detection“.

Folgende Hashes haben die damit in Verbindung stehenden Dateien:

  • 05298a48e4ca6d9778b32259c8ae74527be33815
  • 176e92e7cfc0e57be83e901c36ba17b255ba0b1b
  • 30e4decd68808cb607c2aba4aa69fb5fdb598c64

Dank auch an Loucif Kharouni und Fernando Merces für zusätzliche Einblicke

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*