Increased Use of Android Malware Targeting Journalists

Public Notice (24 August 2016)

Background

On August 4, 2016, a Technical Preview of our forthcoming Carnegie Endowment publication about Iranian state-sponsored actors was presented at Black Hat USA in Las Vegas. This research is primarily focused on intrusion campaigns directed at civil society organizations and independent media originating from Iran. The attack data supporting this report is collected from actual incidents and is intended to rigorously describe the threats that are posed to non-governmental and non-corporate sector by state actors.

Since Black Hat, we have been encouraged to provide continuing information and indicators on threats posed to the Iranian human rights community. We have sought to ensure transparency on our research and engage in quick disclosure, where such disclosure does not pose ethical considerations or decrease our ability to respond to victims of state repression. For the technical community these tactics and techniques may not always be novel, but they remain effective.

This Public Notice is intended to alert the broader Iranian community to recent incidents and provide information to encourage improved security practices.

Abstract

In recent weeks, Iranian groups have increased their use of Android malware in order to compromise foreign journalists and political activists focused on the country. These incidents have involved the use of fictitious personas and compromised accounts in order to turn on others. Alongside Android malware, the group uses a familiar tactic of sending fake login pages for Facebook, Google, Yahoo and Microsoft in order to obtain account credentials through phishing. Finally, while two factor authentication (2FA) remains a critical resource to protect accounts, an observed compromised further highlights the need to move away from using the text message method onto Google Authenticator.

Incident and Impact

On August 20, 2016, the Facebook account of a political activist based in Europe was compromised through an impersonation login page sent by an individual that had claimed to be a past acquaintance.

Once the intruders had access to the Facebook account, they posed as that individual in order to start conversations with his social network, particularly journalists within the Persian-language media community that would be familiar with his work. This is a common tactic that we have documented in several incidents, posing as a trusted person with a breached account to attack their personal network. In one conversation, the intruder asked a journalist for their private contact information and sent what they claimed were “important documents” that needed to be reported.

In reality, the link sent to the new target was an impersonation login page for Google Drive – a phishing attempt intended to deceive them into entering their username and password. These pages are often hosted on domains that appear to be connected to Google or Facebook, and appear official through jargon (such as “verifyuser-login-account.com”). These pages also may support a secure web connection (HTTPS) in order to appear legitimate and in thwart previous advice on spotting fakes. From other experiences, in the event that the deception is not successful, the attackers will commonly increase the pressure on targets to open the document or turn to threats in order to force cooperation. One compromised, the attacker creates an offline backup of emails to ensure that an archive of their contacts and communications is still available if they are locked out of an account.

While one target had enabled two factor authentication (2FA) through text message, the attackers were able to handle this through asking for the codes from the user. Iranian groups have long adapted their strategies to confront the use of this security mechanism, and now include an extra step to obtain the two factor code where it is enabled. The problem in this case is that the codes sent via text message are valid for longer periods of time. This longer lifespan provides the attacker enough time to ask the user for the real code that is sent from Google, and then enter it themselves. This is addressed further in Recommendations.

Importantly, the attackers have also sent Android application files (APKs) to recent targets. This incident represents a growing trend in the use of Android malware in targeting activists and journalists over recent months. In other encounters, the Android malware posed as the messaging applications such as IMO. We have witnessed cases where these clients were sent claiming to be secure chat software. International Campaign for Human Rights in Iran has also indicated that attackers have posed as an “old friend” on other messaging services and encouraged them to install the malware client to continue the conversation. In other cases. we find the picture of the target strangely embedded in the icon of malware.

No matter the social engineering strategy, the Android applications sent to targets were remote access tools (RATs) that would provide full access to a victim’s phone for an attacker in Iran. On installation, these applications would appear as “private chat” or "com_google_sevices" (sic), and quietly record the device’s activities in the background. This software requests all permissions on the phone, and then persistently collects and monitors text messages, emails, photos, microphone, location and other private information. The use of Android malware is effective because of the popularity of the platform, and mobile devices overall, in Iran. Sanctions and other restrictions have also led to more Iranian users installing applications from non-official sources, decreasing the security of their devices.

In the incidents in question, the Android malware used was the “DroidJack” agent, a RAT frequently found in other criminal activities. The fake IMO client is the Meterpreter agent developed for the open source platform Metasploit. We also noted the use Metasploit in malicious documents in our Technical Preview, as has Check Point in “Rocket Kitten: A Campaign With 9 Lives” and others. This is also not the first time that Iranian actors have been observed using mobile malware, and Citizen Lab has documented the use of the same DroidJack RAT against Syrian dissidents by unknown actors believed to be based in Iran. A full description of the capabilities of the Android malware is not in scope for this notice, as Citizen Lab and Symantec have extensive described the agent in question.

We find indication of another Android RAT named KrakenAgent, which is a full featured malware. While the tactics found in the KrakenAgent malware attempts have been directed against activists, it’s targeting appears to be global in scope. The task list of the malware describes an ambition to fully control the phone and monitor all aspects of the use of their device.

"Call Number", "Capture Audio", "Capture Picture", "Capture Video", "Delete Contact", "Delete File", "Delete Recent Call Log", "Delete SMS", "Disable Agent", "Get Application List", "Get Bluetooth List", "Get Browser History", "Get Chrome Credential Store", "Get Contact List", "Get Current Cell Info", "Get Default Browser Credential Store", "Get Device Info", "Get Directory Listing", "Get File", "Get Location", "Get Neighbouring Cell List", "Get Recent Call Log", "Get SMS", "Get Skype Database", "Get Viber Database", "Get WhatsApp Database", "Get WiFi List", "Open URL In Browser", "Record Call", "Send SMS", "Send USSD", "Volume Change"

Notable actions with KrakenAgent include copying the username and passwords stored on the phone, stealing messages (Skype, Viber, SMS and WhatsApp), and using the phone as an eavesdropping device.

We believe based on observations highlighted in our Technical Preview that the incident and aspects of the campaigns (however, not necessarily all) are similar to those conducted by the Rocket Kitten group, which has been described elsewhere as acting on behalf of the Iranian government.

Recommendations

The incident is indicative of common trends in the tactics used by Iranian groups to target interests inside of the country and in the diaspora. While the intent of this disclosure is not to provide a full digital security lesson, there are simple changes to settings and behaviors that can reduce the effectiveness of these attacks.

Use a Alternative Two Factor Authentication (2FA) Method Than Text Message

The codes provided by text message are valid for a longer amount of time compared to other the application method, which presents social engineering opportunities for attackers. Text message codes are also considered unsafe due to security issues with mobile networks, and so their use is increasingly discouraged where a better replacement is possible. Google and other platforms provides methods of generating codes that are similar to text messages, and may be easier to use, such as Google Authenticator or a Yubikey.

As an example, please see Google’s help page on Authenticator.

Exercise Caution with Documents and Links

Be cautious when people offer documents over social networks, and consider confirming that you are speaking with the right person over phone. We have witnessed many cases where people realized they were being targeted when the person they were supposedly speaking to couldn’t talk claiming they lost their voice. Be suspicious when someone is asking for a code from you – this could be a login or password reset code sent from your service provide to gain access to your accounts.

In general, take an extra moment to consider the situation when someone claims to be sending a “secure” document or anything that requires sending them a “code.”

Check What You Are Typing Your Password Into

Impersonation sites often have Google or Facebook in the name, but still are not the service in question and are instead malicious (e.g. “privacy-google.com”). Anytime that a site asks for your username and password, be alert and pause. Why is it asking for your information? How did you get to this page? Are you still logged into your account elsewhere?

Do Not Install .APK Files From Untrusted Sources

Do not install Android applications and run executable files (.EXE or .SCR) from unknown sources, including from friends or untrusted websites. Be especially sensitive if the application that is being installed requests permission for private data and features like the microphone.

Do not allow applications from “Unknown Sources” to be installed.

Contact

Certain information has been withheld for privacy or operational reasons outlined above, but we are happy to provide information to security professionals and targeted organizations in order to support defensive work. We also welcome samples and feedback on our research. If you have any questions, concerns, or requests for further information please contact us.

Email

Claudio (nex@amnesty.org)
  • Fingerprint: E063 75E6 B9E2 6745 656C 63DE 8F28 F25B AAA3 9B12
Collin (cda@asc.upenn.edu)

Indicators of Compromise

Filename
SHA256
MD5
imo.apk
85899e8270a7f1795189e67625a33098b8264bbd5c79d2800246aa69f89e8ee4
8b2ad85b8b5c835777664f240f2065e6
[target name].apk
d128d2177c65a24cc2938193b6b45e927679a367c7ba1d408baca734aef3e23f
40e09e28551080f4ebdba54ff15e81a5
[krakenagent].apk
e2694da3a053c434d0265be78525cf43babd95efb2660446eddc7cdfda51f468
3101082d0277e6de030da7a9b813dc93

افزایش استفاده از بدافزار‌های اندرویدی برای هدف قرار دادن خبرنگاران

اطلاعیه عمومی (سوم شهریور ۱۳۹۵)

تاریخچه

در ۱۴ مرداد ۱۳۹۵ یک پیش نمایش فنی از گزارشی که در آینده توسط انتشارات Carnegie Endowment منتشر خواهد شد در مورد هکر‌ها دولتی ایران در کنفرانس کلاه سیاه در شهر لاس وگاس ایالات متحده منتشر شد. اولویت این تحقیق بر روی کمپینی است که هدفش نفوذ در سازمان‌های جامعه مدنی و رسانه‌های مستقل ایرانی است. داده‌ها از حوادث واقعی جمع‌آوری شده‌اند و قرار است با دقت تهدیدهایی را شرح دهند که از سوی بازیگران دولتی متوجه بخش‌های غیردولتی و غیر اقتصادی می‌شوند‌.

پس از کنفرانس کلاه سیاه، ما تشویق شدیم تا اطلاعات و شاخص‌های تهدیدهای جامعه حقوق بشری ایران را تهیه و جمع آوری کنیم. مطوب ما این است که ضمن شفافیت در تحقیقات به سرعت و بی‌پرده آنها را افشا کنیم. در این افشاگری ملاحظات اخلاقی مطرح نیست بلکه کاهش توانایی ما برای پاسخ دادن به تهدیدات و برخورد با سرکوب حکومت مطرح است. برای جامعه فنی این تاکتیک‌ها و تکنیک‌ها ممکن است جدید نباشد، اما همیشه موثر خواهند بود.

این اطلاعیه عمومی در جهت هشدار دادن به بخش گسترده تر از جامعه ایران با توجه به حوادث اخیر و همچنین با هدف ارايه اطلاعات دقیق برای بهبود پیدا کردن امنیت آنها منتشر شده است.

چکیده

در هفته‌های اخیر شاهد افزایش استفاده از بدافزارهای اندرویدی توسط گروه‌های ایرانی با هدف به سرقت بردن اطلاعات خبرنگاران و فعالین سیاسی ساکن خارج از ایران بودیم. شواهد نشان می‌دهد که هکرها با هک کردن فعالین سرشناس و دسترسی به حساب‌های کاربری عملا دامنه دسترسی خود ر به سایر فعالین افزایش می‌دهند. در کنار استفاده از بدافزار اندرویدی این گروه از تاکتیک‌های آشنا مانند ارسال صفحه‌های جعلی ورود به حساب‌های فیس‌بوک،‌ گوگل، یاهو و مایکروسافت استفاده کردند. در حالی که یکی از راه‌های بالابردن امنیت، روش احراز هویت دو مرحله‌ای است مشاهدات نشان می‌دهد که حتی در این روش نیز افرادی که ازطریق پیامک هویت خود را تایید می‌کنند نیز در معرض حملات قرار می‌گیرند. برای امنیت بیشتر بهتر است به جای تایید هویت از طریق پیامک از روش جایگزین Google Authenticator استفاده کنند.

حوادث و اثرات آن‌ها

در ۳۰ مرداد ۱۳۹۵ حساب فیس‌بوک یک فعال سیاسی ایرانی ساکن اروپا توسط فردی که خود را یکی از آشنایان قدیمی او معرفی می‌کرد به وسیله ارسال صفحه ورود جعلی گوگل داکومنت به سرقت برده شد.

زمانی که مهاجمان به فیس‌بوک او دسترسی پیدا کردند، اقدام به ارسال پیام‌هایی برای افراد حقیقی دیگری که در شبکه دوستان قربانی بودند، کردند. مهاجمان به صورتی هدفمند خبرنگارانی را در رسانه‌های فارسی زبان مورد حمله قرار دادند که با فعالیت‌های قربانی و شخص خودش آشنایی داشتند. ارسال پیام به وسیله یک فرد مورد اطمینان با هدف به سرقت بردن اطلاعات سایر قربانیان روش معمولی است که ما در گزارش‌های متعددی به آن اشاره کرده‌ایم.

در یکی از این گفتگو‌ها فرد حمله کننده از یکی از خبرنگاران اطلاعات مربوط به راه‌های تماس خصوصی او را پرسیده بود و ادعا کرده بود دارای "اسناد مهمی" است که لازم است توسط رسانه‌ها گزارش شود.

در حقیقت لینک ارسالی توسط این مهاجم،‌قربانی را به یک صفحه جعلی در گوگل درایو با هدف دریافت نام کاربری و رمز قربانی طراحی شده بود، هدایت می‌کرد. این صفحه‌ها اغلب بر روی دامین‌هایی قرار می‌گیرند که به نظر می‌رسد به گوگل و یا فیس‌بوک متصل هستند مانند “verifyuser-login-account.com”. همچنین این صفحه‌ها ممکن است با هدف فریب دادن کاربر از یک اتصال امن (HTTPS) نیز بهربرداری کنند.

در نمونه‌ی دیگری که این نوع فریبکاری موفقیت آمیز نبود، حمله کننده فشار را بر روی قربانی را برای باز کردن اسناد و یا اجبار به همکاری با او افزایش داده بود. در یکی از این سرقت‌ها حمله کننده اقدام به ایجاد یک نسخه پشتیبان از ایمیل‌های قربانی کرد تا اطمینان حاصل کند در صورت قطع دسترسی به حساب ایمیل قربانی، همچنان تمام محتوای ایمیل‌ها و چت‌های قربانی در دسترسش باشد.

زمانی که یک قربانی تایید هویت دو مرحله‌ای را به وسیله دریافت این کد توسط پیامک فعال کرده بود، حمله کننده قادر بود این مشکل را به وسیله پرسیدن کد تایید هویت دو مرحله‌ای از کاربر پشت سر گذارد. گروه‌های ایرانی به مدت طولانی استراتژی‌های خود را با مکانیز‌های امنیتی تطبیق داده‌اند و حالا این تطبیق یافتگی شامل پیدا کردن راه‌هایی برای دسترسی به کد‌های تایید هویت دو مرحله‌ای شده است. مشکل در این مورد این است که کدی که به وسیله پیامک ارسال می‌شود به مدتی نسبتا طولانی دارای اعتبار است. این مدت زمان طولانی عمر کد حمله کننده را قادر می‌سازد تا از کاربر کد حقیقی را که گوگل ارسال می‌کند را پرسیده و وارد کند. این مشکل در بخش توصیه‌ها بیشتر توضیح داده خواهد شد.

مهمترین بخش اما ارسال اپلیکیشن اندروید (فایل‌های APK) به قربانی اخیر است. این حادثه نماینگر این است که استفاده از بدافزارهای اندرویدی برای هدف قرار دادن خبرنگاران و فعالین در حال افزایش است. در نمونه دیگری بدافزار اندرویدی تحت عنوان اپلیکیشن پیام‌رسانی مانند IMO ارسال شده است. شواهدی در دست است که نسخه جعلی از این پیام رسان به عنوان نرم‌افزار امن چت معرفی شده است. کمپین بین‌المللی حقوق بشر در ایران اعلام کرده که حمله کننده تحت عنوان "یک دوست قدیمی" بر روی یک اپلیکیشن پیام رسان دیگری تلاش داشته است تا قربانی را متقاعد کند که این فایل را دریافت و نصب کند. در مورد دیگری ما دریافتیم که تصویر قربانی به صورت عجیبی در داخل فایل بدافزار به عنوان آیکون برنامه قرار داده شده بود.

بدون توجه به استراتژی مهندسی اجتماعی استفاده شده در این حمله‌ها، بدافزار اندرویدی ارسال شده به قربانیان قابلیت فراهم کردن دسترسی از راه دور را برای حمله کنند بر روی گوشی قربانی را فراهم می‌کند به طوری که گوشی قربانی به صورت کامل تحت کنترل حمله کننده در ایران در خواهد آمد. پس از نصب این اپلیکیشن به عنوان “private chat” و یا "com_google_sevices" خود را نمایان می‌کند و به سرعت اقدام به ذخیره کردن تمام فعالیت‌های کاربر بر روی گوشی خود به صورت پنهانی خواهد کرد. این نرم‌افزار نیازمند آن است که به همه چیز دسترسی داشته باشد که بر این اساس خواهد توانست فعالیت‌های کاربر در بخش‌های ارسال و دریافت پیامک، عکس‌ها، میکروفن، موقعیت جغرافیایی و سایر اطلاعات خصوصی را تحت کنترل خود در آورد. استفاده از بدافزارهای اندرودی کاملا اثرگذار است چرا که اندروید یک سکو و سیستم عامل محبوب در ایران است.

تحریم‌ها و سایر محدودیت‌ها ایرانیان را بیشتر و بیشتر به سوی نصب اپلیکیشن‌های اندروید از منابع غیر رسمی هدایت می‌کند که همین باعث شده است امنیت آنها به شکل قابل توجهی کاهش پیدا کند. در این حمله بدافزار اندرویدی با استفاده از “DroidJack” به صورت کنترل از راه دور فعالیت می‌کرد که مانند این ایجنت را در موارد دیگری نیز یافته‌ایم. در مورد نسخه جعلی IMO از Meterpreter استفاده شده است. در پیشنمایش فنی مان به اسناد مخرب Metasploit به عنوان نقطه کنترلی در “Rocket Kitten: A Campaign With 9 Lives” و سایر موارد توجه داشته‌ایم.

این البته اولین باری نیست که هکرهای ایرانی از بدافزارهای بر روی دستگاه‌های موبایل استفاده کرده‌اند. سیتیزن‌لب و سمیمانتک پیشتر از این موارد مشابهی را که با استفاده از DroidJack بر ضد فعالین سوری توسط عناصری ناشناس را شناسایی کرده بود که به نظر می‌رسید دست ایران در آن فعال بوده است. توضیحات کامل از قابلیت‌های این نرم افزارهای مخرب اندروید است در محدوده این گزارش نیست.

بدافزار اندرویدی دیگری که ما یافتیم با عنوان KrakenAgent شناخته شده است که یک نرم‌افزار کاملا مخرب است. این بدافزار نیز به صورت گسترده مورد استفاده قرار گرفته است. وظایف این بدافزار که بر اساس آن کنترل کاملی و نامحدودی بر روی گوشی موبایل کاربر ایجاد می‌کند به شرح زیر است.

"Call Number", "Capture Audio", "Capture Picture", "Capture Video", "Delete Contact", "Delete File", "Delete Recent Call Log", "Delete SMS", "Disable Agent", "Get Application List", "Get Bluetooth List", "Get Browser History", "Get Chrome Credential Store", "Get Contact List", "Get Current Cell Info", "Get Default Browser Credential Store", "Get Device Info", "Get Directory Listing", "Get File", "Get Location", "Get Neighbouring Cell List", "Get Recent Call Log", "Get SMS", "Get Skype Database", "Get Viber Database", "Get WhatsApp Database", "Get WiFi List", "Open URL In Browser", "Record Call", "Send SMS", "Send USSD", "Volume Change"

با این وجود یکی از فعالیت‌های مهم KrakenAgent شامل کپی کردن نام‌کاربر و رمز آن از برنامه‌هایی مانند اسکایپ، وایبر، پیامک‌ها و واتزاپ است به طوری که دستگاه موبایل کاربر را کاملا به یک ابزار استراق سمع تبدیل می‌کند.

ما باور داریم بر اساس توضیح‌هایی که در بخش فنی دادیدم این حوادث بخشی از یک کمپین توسط دولت ایران است.

توصیه‌ها

شواهد حاکی از آن است که استفاده از این تاکتیک‌ها در گروه‌های هکر ایرانی به منظور هدف قرار دادن فعالین جامعه مدنی در داخل و خارج از کشور رواج پیدا کرده است .هدف ما از این گزارش ارائه کلاس و درس امنیت دیجیتال نیست اما ایجاد تغییراتی ساده در تنظیمات دستگاه‌ها و رفتار‌های کاربران می‌تواند اثر این حمله‌ها را تا حد قابل توجهی کاهش دهد.

استفاده از یک جایگزین برای دریافت کد تایید هویت دو مرحله‌ای

کد تایید هویتی با استفاده از سرویس پیام رسان کوتاه به دست کاربر می‌رسد که برای مدتی طولانی دارای اعتبار است. همچنین دریافت این کد از طریق پیامک به علت مشکلات امنیتی بسیار پرخطر است ، بنابراین باید یک گزینه جایگزین برای این روش داشت. شرکت گوگل و چند شرکت دیگر از روش‌ها دیگری مانند استفاده از Google Authenticator و یا یک Yubikey پشتیبانی می‌کنند.

برای توضیح‌های بیشتر لطفا صفحه راهنمایی گوگل در اینجا را مشاهده کنید.

برخورد احتیاط آمیز با لینک‌ها و اسناد

زمانی که افراد به شما اسناد و یا لینک‌هایی را در شبکه‌های اجتماعی ارسال می‌کنند، با آنها بسیار محتاطانه برخورد کنید و مطمین شوید کنید که در حال صحبت با فرد درستی هستید. ما شواهدی داریم که وقتی حمله کننده‌های با سوال‌هایی که هویت آنها را زیر سوال می‌برد مواجه می‌شوند، قدرت حمله خود را از دست می‌دهند. همیشه زمانی که کسی از شما در مورد کدهایی که مربوط به شما است سوال می‌کنند مشکوک شوید.

به طور کلی در نظر داشته باشید که به سرعت به افرادی که ادعا می‌کنند اسناد محرمانه و مهمی و یا کدی را برای شما ارسال کردند پاسخ ندهید.

برسی کنید رمز خود را کجا وارد می‌کند

سایت‌های که با هدف جعل هویت راه اندازی می‌شوند اغلب گوگل یا فیس‌بوک نام دارند، با این وجود دقت کنید که آیا به نشانی اصلی گوگل و یا فیس‌بوک وارد شدید و یا یک نسخه جعلی مانند "privacy-google.com". هر زمان که یک سایت از شما نام کاربری و رمز عبور تان را می‌پرسد، هوشیار باشند و کمی تامل کنید. از خود سوال کنید چرا این برای اطلاعات را از شما درخواست کرده است؟ چگونه وارد این صفحه شده اید؟ چرا با وجود اینکه وارد حساب کاربری خود هستید(login) باز هم از شما رمز را پرسیده است؟

فایل‌های APK. را نصب نکنید

هرگز اپلیکیشن‌های اندروید و فایل‌های اجرایی مانند EXE. یا SCR. را از منابع نامعتبر دریافت و اجرا نکنید حتی اگر این منبع یک دوست و یا یک وب‌سایت است. به ویژه در مورد اپلیکیشن‌هایی که در مرحله نصب از شما اجازه می‌خواهند تا به بخش‌هایی از گوشی و دستگاه شما دسترسی داشته باشند، بسیار با دقت عمل کنید و فهرست دسترسی‌ها را با صبر مطالعه کنید.

اجازه ندهید که اپلیکیشن‌ها از "منابع ناشناس" روی دستگاه شما نصب شوند.

ارتباط با ما

ما برخی از اطلاعات را برای حفظ حریم خصوصی افراد و یا ادامه تحقیقات منتشر نکردیم اما خوشحال خواهیم شد تا اطلاعاتی را که شما نیاز دارید به منظور حفظ امنیت شما در اختیار شما قرار دهیم. ما همچنین از دریافت نمونه‌هایی که به آنها مشکوک هستید و یا نظرات شما بسیار استقبال می‌کنیم. در صورتی که هر گونه سوالی، نگرانی و یا درخواستی از ما دارید لطفا با ما با نشانی‌های زیر تماس بگیرید:

کلودیو گوارنیری (nex@amnesty.org)
  • اثر انگشت پی‌جی‌پی: E063 75E6 B9E2 6745 656C 63DE 8F28 F25B AAA3 9B12
کالین اندرسون (cda@asc.upenn.edu)
  • اثر انگشت پی‌جی‌پی: 510E 8BFC A60E 84B4 40EA 0F32 FAFB F2FA