News

Lookout ค้นพบสปายแวร์ใหม่ที่ Sextortionist ใช้เพื่อแบล็กเมล์ผู้ใช้ iOS และ Android

Lookout Spyware 16-9 (2)

เขียนโดย Robert Nickle, Apurva Kumar และ Justin Albrecht

ทีม Lookout Threat Intelligence ได้ค้นพบภัยคุกคามแอปมือถือใหม่ที่มีเป้าหมายคือผู้ใช้ iOS และ Android ในประเทศที่ใช้ภาษาจีน เกาหลี และญี่ปุ่น เราตั้งชื่อสปายแวร์นี้ว่า Goontact มีเป้าหมายคือผู้ใช้เว็บไซต์ที่ผิดกฎหมาย โดยทั่วไปจะให้บริการเป็นเพื่อนไปเที่ยว (Escort Service) และจะขโมยข้อมูลส่วนบุคคลจากโทรศัพท์มือถือของผู้ใช้งาน จากประเภทของไซต์ที่ใช้ในการเผยแพร่แอปที่เป็นอันตรายเหล่านี้และรูปแบบข้อมูลที่ถูกเปิดเผยแสดงให้เห็นว่า เป้าหมายสูงสุดคือการขู่กรรโชกหรือแบล็กเมล์

เราพบว่า Goontact มักจะปลอมตัวเป็นแอปพลิเคชันรับส่งข้อความที่มีความปลอดภัยสามารถกรองข้อมูลได้หลากหลายเช่น:

-    แอปค้นหาอุปกรณ์มือถือและหมายเลขโทรศัพท์
-    แอปรายชื่อติดต่อ (Contact)
-    แอปส่งข้อความ SMS
-    แอปแกลอรี่สำหรับจัดเก็บภายนอกอุปกรณ์
-    แอปข้อมูลสถานที่และการนำทาง

แท็บเล็ตและสมาร์ทโฟนนั้นเป็นขุมทรัพย์ของข้อมูลส่วนบุคคล อุปกรณ์เหล่านี้เก็บข้อมูลส่วนตัวเช่นรายชื่อ ภาพถ่าย ข้อความ และตำแหน่งที่ตั้ง การเข้าถึงข้อมูลทั้งหมดนี้ช่วยให้อาชญากรไซเบอร์อย่างผู้ดำเนินการของ Goontact ทำการขู่กรรโชกได้สำเร็จ

การทำงานและผลกระทบที่เป็นอันตราย

การสแกมที่เป็นการหลอกลวงทางเพศเหล่านี้ใช้ประโยชน์จากคนที่พูดภาษาจีนญี่ปุ่นและเกาหลีในหลายประเทศในเอเชีย หลักฐานในสถานที่จัดจำหน่ายยังชี้ให้เห็นว่าการดำเนินการนี้สามารถใช้งานได้ในประเทศจีนญี่ปุ่นเกาหลีไทยและเวียดนาม

การสแกมนี้เริ่มต้นเมื่อเป้าหมายที่มีโอกาสหลอกสำเร็จถูกล่อลวงไปยังเว็บไซต์ ซึ่งพวกเขาได้รับเชิญให้ติดต่อกับผู้หญิง รหัสของบัญชีสำหรับแอปส่งข้อความที่ปลอดภัยอย่าง KakaoTalk หรือ Telegram ของคุณจะถูกโฆษณาบนไซต์เหล่านี้ ซึ่งเป็นรูปแบบการสื่อสารที่ดีที่สุดและเหมาะสำหรับการต่อยอดเริ่มบทสนธนามากที่สุด ดูตัวอย่างได้จากรูปด้านล่าง

1_luresite_screenshot_goontact

ภาพหน้าจอของเว็บไซต์สำหรับหลอกลวงที่ Goontact ใช้ในการชวนผู้เข้าชมให้ติดต่อไอดี KakaoTalk หรือ ไอดี Telegram เพื่อเข้าถึงบริการในโฆษณา

ในความเป็นจริง คุณกำลังติดต่ออยู่กับพนักงานของ Goontact อยู่ ในบางกรณีเป้าหมายจะถูกชักจูงให้ดาวน์โหลดแอปบนมือถือ เช่น ลูกค้าติดต่อเข้ามาเพราะมีปัญหาเกี่ยวกับเสียง ภาพ หรือปัญหาอื่นๆ ซึ่งแอปเหล่านี้ ผู้ใช้งานจะไม่สามารถใช้งานได้จริงๆ เว้นแต่กำลังขโมยข้อมูลส่วนตัวทุกอย่างเกี่ยวกับคนๆ นั้น และวิธีนี้จะใช้งานโดยผู้โจมตีซึ่งจุดประสงค์หลักของผู้โจมตีคือ ใช้ข้อมูลเพื่อรีดไถและหาผลประโยชน์ทางการเงินจากเป้าหมาย

แหล่งที่มาที่มีความเป็นไปได้

เราพบว่าเว็บไซต์ที่เกี่ยวข้องกับ Goontact มีความคล้ายคลึงกันหลายประการ ไม่ว่าจะเป็นรูปแบบการตั้งชื่อ ลักษณะ และภูมิภาคทางภูมิศาสตร์ที่ใช้กำหนดเป้าหมาย เว็บไซต์เหล่านี้ยังใช้โลโก้และโดเมนที่เป็นส่วนหนึ่งของรายชื่อเว็บไซต์ที่มีการหลอกลวงทางเพศที่รายงานโดย Trend Micro ในปี 2015*

เราเชื่อว่าเว็บไซต์เหล่านี้ ดำเนินการโดยบริษัทในเครืออาชญากรรม แทนที่จะเป็นระดับองค์กรระดับชาติ ในขณะที่เรายังไม่ค้นพบการเชื่อมโยงของโครงสร้างพื้นฐานที่ชัดเจน แต่เราเชื่อว่ามีความเป็นไปได้สูงที่ Goontact จะเป็นส่วนเสริมใหม่ล่าสุดของเครือข่ายของผู้คุกคามรายนี้ ที่น่าสังเกตมากที่สุดคือไม่เคยได้รับการรายงานกลโกงนี้จาก iOS มาก่อน

จากการวิจัยของเรา การสแกมดังกล่าวมีการเริ่มใช้งานมาตั้งแต่ปี 2013 เป็นอย่างน้อย อย่างไรก็ตามตระกูลมัลแวร์ Goontact เป็นผลิตภัณฑ์ใหม่และยังคงได้รับการพัฒนาอย่างต่อเนื่อง ตัวอย่างแรกสุดของ Goontact ที่ Lookout พบคือในเดือนพฤศจิกายน 2018 โดยมีแพ็กเกจ APK และวันที่ลงนามที่ตรงกันทำให้เราเชื่อว่าการพัฒนามัลแวร์น่าจะเริ่มในช่วงเวลานี้

Goontact iOS

2_sites_mimicking_app_store_pages_goontact

เว็บไซต์ Goontact ล่าสุดที่เลียนแบบหน้าของ App Store ซึ่งเซิร์ฟเวอร์ที่ใช้ในการกระจายมัลแวร์ยังมีหน้าสำหรับลงชื่อเข้าสู่ระบบซึ่งแสดงให้เห็นว่าเป็นระบบเซิฟเวอร์ C2C (Command-and-control) ซึ่งแอปนี้อยู่ระหว่างการพัฒนาอย่างต่อเนื่องและได้รับการอัปเดตหลายครั้งต่อเดือน

ตัวอย่างก่อนหน้าของ Goontact เวอร์ชัน iOS แสดงฟังก์ชันหลักคือการขโมยหมายเลขโทรศัพท์และรายชื่อผู้ติดต่อของเหยื่อ การทำซ้ำในภายหลัง รวมถึงฟังก์ชันการทำงานเพื่อสื่อสารกับเซิร์ฟเวอร์คำสั่งและการควบคุมรอง (C2) และแสดงข้อความถึงผู้ใช้ที่ได้รับการปรับแต่งโดยผู้โจมตีก่อนออกจากแอป

3_exfiltrate_code_address_goontact

Code ที่แสดงรายชื่อที่อยู่ของเหยื่อออกจากอุปกรณ์ที่ติดไวรัส

Signing Identities

Goontact บน iOS อาศัยให้ผู้ใช้งานโหลดไฟล์ IPA จากเว็บไซต์ในเครือข่าย ซึ่งไซต์เหล่านี้มีลิงก์และ URL สำหรับดาวน์โหลด IPA การที่จะทำสิ่งนี้ได้ Goontact จะต้องฝ่าฝืนกฎของระบบการจัดเตรียมองค์กรของ Apple (Apple Provisioning System)

หากต้องการเผยแพร่ภายนอก App Store ไฟล์ IPA จะต้องมีโปรไฟล์การจัดสรรอุปกรณ์เคลื่อนที่พร้อมกับใบรับรองระดับองค์กร ใบรับรองระดับองค์กรเหล่านี้สามารถสร้างได้จากคอนโซล App Developer ของ Apple จากนั้นสามารถใช้เพื่อ Code ลงในแอปต่างๆ โดยใช้ Signing Identity ที่เชื่อมโยงกับโปรไฟล์ Developer ของบริษัทหรือ TeamID ผู้ดำเนินการของ Goontact สามารถรับใบรับรองระดับองค์กรที่เกี่ยวข้องกับธุรกิจที่ถูกต้องตามกฎหมายเพื่อลงนามในมัลแวร์ของตนซึ่งจากนั้นจะทำการเผยแพร่บนเว็บไซต์ที่เลียนแบบหน้า App Store

โปรแกรม Apple Developer Enterprise มีวัตถุประสงค์เพื่ออนุญาตให้องค์กรแจกจ่ายแอปภายในองค์กรที่เป็นกรรมสิทธิ์ให้กับพนักงานโดยไม่จำเป็นต้องใช้ iOS App Store ซึ่งธุรกิจอื่นๆ สามารถเข้าถึงโปรแกรมนี้ได้ แต่ต้องเป็นไปตามข้อกำหนดที่กำหนดโดย Apple เท่านั้น

นี่เป็นกลยุทธ์ที่คล้ายกันกับที่ใช้โดยภัยคุกคามใน iOS อื่นๆ ที่เราสังเกตเห็นเช่น eSurvAgent ซึ่งผู้ใช้ต้องดาวน์โหลดแอปผ่านเบราว์เซอร์ ทำการติดตั้ง และไปที่แอปการตั้งค่า จากนั้นทำการยืนยันเชื่อถือข้อมูล Signing Identiry ที่ใช้ในการลงชื่อไฟล์ IPA หลังจากผ่านขั้นตอนการยืนยันตัวตนการลงนามกับเซิร์ฟเวอร์ของ Apple แล้วแอปจะสามารถทำงานบนอุปกรณ์ iOS

4_instructions_install_iOS_Goontact

ภาพหน้าจอของเว็บไซต์ในเครือข่ายหลอกลวงทีแสดงให้เห็นวิธีการติดตั้ง Goontact เวอร์ชัน iOS ในภาพขวาสุดด้านบนคุณสามารถดูชื่อบริษัทที่มีการใช้ Signing Identiry ในการลงนามเพื่อสร้าง Provisioning Profile สำหรับอุปกรณ์มือถือสำหรับแอปได้

Provisioning Profile ระดับองค์กรของอุปกรณ์มือถือที่ Goontact ใช้อ้างอิงทั้งหมดสามารถเห็นได้ชัดว่าเป็นบริษัทที่ถูกต้องตามกฎหมาย รายการดังที่แสดงด้านล่างรวมถึงบริษัทที่จดทะเบียนในจีนและในสหรัฐอเมริกาในภาคส่วนต่างๆ เช่น บริษัทผลิตไฟฟ้าสหภาพเครดิตและบริษัทรถไฟ

TeamID

AKSVA57833
5YMLXQ5HEE
VWEN6QTM5A
GCDHET33K9
KRDUAN5QNS
7TLJH7GP4B
5383H5PWBS
229BL7A3HR
7RZF8699DK

TeamName (Company Name)

Jinhua Changfeng Information Technology Co., Ltd.
Qingdao Haier Technology Co., Ltd.
Linkplay Tech Inc.
Norfolk Southern Corporation
Dalian Rural Commercial Bank Co., Ltd.
Daikin Airconditioning (Hong Kong) Ltd
AbleSky Inc.
GUANGZHOU INSOONTO NETPAY TECHNOLOGY CO.; LTD.
Guangzhou Jianxin Automation Technology Co.,Ltd.



สังเกตได้ว่าบริษัทส่วนใหญ่จะมี Developer Profile และแอปพลิเคชั่นบน iOS App Store ไม่ว่าจะเป็นในปัจจุบันหรือในอดีต อย่างไรก็ตามยังไม่มีความชัดเจนสำหรับเราว่าข้อมูล Signing Identity เหล่านี้ถูกบุกรุกอย่างแท้จริงหรือถูกสร้างขึ้นโดยผู้ให้บริการมัลแวร์ปลอมตัวเป็นตัวแทนของบริษัทที่มีปัญหา

ในระหว่างการวิจัยของเรา เราพบว่ามีการเพิกถอนข้อมูล Signing Identity หลายรายการ ในกรณีดังกล่าวตัวอย่างมัลแวร์ใหม่ที่ใช้ข้อมูลประจำตัวใหม่จะปรากฏบนเว็บไซต์ของผู้ให้บริการมัลแวร์ทันที บางครั้งเราพบว่าเหตุการณ์นี้เกิดขึ้นหลายครั้งต่อเดือน ซึ่งบ่งชี้ว่าผู้ที่อยู่เบื้องหลัง Goontact มีปัญหาเล็กน้อยในการเข้าถึงบัญชีเพิ่มเติม

 Goontact Android

สำหรับ Goontact บน Android นั้นมีคุณสมบัติมากมายกว่ามาก นอกเหนือจากการขโมยข้อมูลติดต่อแล้ว ยังมีฟังก์ชันขั้นสูงด้วยเช่นการขโมยข้อมูล SMS รูปภาพและตำแหน่ง

5_android_icons_goontact


ไอคอนของตัวอย่าง Goontact Android ที่แสดงแอปที่สามารถปลอมได้ที่ใช้ในแคมเปญเพื่อดึงดูดให้บุคคลทั่วไปดาวน์โหลดและติดตั้งตัวอย่างมัลแวร์

โครงสร้างพื้นฐาน

โดเมน command-and-control (C2) ส่วนใหญ่ใช้ประโยชน์จาก Goontact เป็นเว็บไซต์สำหรับโฮสต์มัลแวร์เวอร์ชัน iOS C2 มัลแวร์ที่ใช้งานอยู่เกือบทั้งหมดมีหน้าจอเข้าสู่ระบบบนพอร์ตที่ไม่ได้มาตรฐานเช่น 8085 และ 9905

6_C2_panel_chinese_speakers_goontact

หน้าต่าง C2 ทั้งหมดเป็นภาษาจีน หลักฐานนี้พร้อมด้วยชื่อของบริษัทที่ใช้สำหรับ Developer Profile บ่งชี้ว่าผู้พัฒนาและผู้ดำเนินการแคมเปญสามารถพูดภาษาจีนได้

ส่วนประกอบของ URL C2 ในตัวอย่าง ปัจจุบันมักประกอบด้วย“ / JYSystem /” ทั้งบน iOS และ Android ซึ่งเป็นการอ้างอิงถึงเทมเพลต HTML แบบโอเพนซอร์สที่มีอยู่ใน Github 2 หลังจากสำรวจโครงสร้างพื้นฐานในระหว่างการวิจัยเราได้ค้นพบเว็บไซต์ที่ใช้งานอยู่จำนวนมาก ซึ่งมีรูปแบบเดียวกันซึ่งโฮสต์ไฟล์ IPA จำนวนมาก มีหลายรายการแต่มีการจดทะเบียนโดเมนใหม่ทุกวัน โดเมนเหล่านี้เชื่อมโยงกันโดยใช้ที่อยู่ IP และใบรับรอง SSL ที่ใช้ร่วมกัน

เว็บไซต์สำหรับหลอกล่อคือเว็บไซต์คนกลางที่เสนอตัวเลือกในการตั้งค่า วันที่ และแชทกับผู้หญิงหลังจากจ่ายค่าธรรมเนียม ซึ่งเว็บไซต์หลอกล่อล่าสุดมีลิงก์ไปยังแอปพลิเคชันที่เป็นอันตรายและให้คำแนะนำในการติดตั้งโดยละเอียดแก่เหยื่อ ไฟล์ APK ที่เป็นอันตรายได้รับการสังเกตว่าโฮสต์อยู่บนเว็บไซต์ล่อ แต่ไฟล์ IPA ทั้งหมดโฮสต์อยู่บนเว็บไซต์สำหรับแจกจ่ายแยกต่างหากตามที่อธิบายไว้ข้างต้น

8_lure_sites_korean_distribution_goontact

เว็บไซต์ล่อ (red-v10 [.] com) ในลิงก์ภาษาเกาหลีกลับไปยังตัวอย่างของ Goontact ที่โฮสต์บนเว็บไซต์แจกจ่าย (redvios [.] com) พร้อมกับคำแนะนำในการติดตั้ง ไซต์มีความอ่อนไหวต่อ User-Agent เพื่อแสดงแอปพลิเคชันที่เหมาะสมกับอุปกรณ์ของผู้ใช้

แม้ว่าแอปการเฝ้าระวัง Goontact ที่อธิบายไว้ในแคมเปญนี้จะไม่มีให้บริการบน Google Play หรือ iOS App Store แต่ระยะเวลา ความกว้าง และกลยุทธ์ที่จัดแสดงจะเน้นถึงระยะเวลาที่ผู้ไม่ประสงค์ดีจะใช้หลอกลวงเหยื่อและบายพาสข้ามการป้องกันในตัว Lookout ช่วยให้ผู้บริโภคและผู้ใช้ระดับองค์กรปลอดภัยจาก Goontact บน Android ผู้ใช้ Lookout ทั้งหมดจะได้รับการปกป้องในขณะที่บน iOS ผู้ใช้ Lookout for Work และสมาชิก Lookout Premium Plus จะได้รับการคุ้มครอง

ลูกค้า Lookout Threat Advisory Services ได้รับแจ้งเกี่ยวกับเรื่องนี้แล้ว พร้อมข้อมูลเพิ่มเติมเกี่ยวกับภัยคุกคามนี้และภัยคุกคามอื่นๆ ดูที่หน้าบริการให้คำปรึกษาภัยคุกคามเพื่อเรียนรู้เพิ่มเติม

Leave a comment