【安全资讯】Chrysaor间谍软件分析

猎影实验室 2021-08-18 08:46:14 2255人浏览

引言

8月17日,安恒威胁情报中心猎影实验室发布了NSO Group的Chrysaor间谍软件的分析报告。Chrysaor是Pegasus间谍软件的Android版本,主要功能是监听目标设备并与C2服务器保持联络。可能因为Android开源的原因,Chrysaor并没有利用任何 0day,而是主要利用一些已经曝光的漏洞,所以Chrysaor间谍软件比Pegasus的攻击成本要低。

 

简况

攻击者首先诱导用户下载或通过无线攻击用户安装Chrysaor样本,随后立即调用Framaroot来提权,Framaroot是一个提权工具,它包含几个用于提权的漏洞,Framaroot作者为保证尽量减少Framaroot被恶意软件利用,所以 Framaroot只提供短期root,当system分区被修改时,root即会失效。为了防止漏洞被修复,也为了防止更新后提权突然失效,恶意软件删除了系统中的更新程序。

 

Chrysaor可以收集多种数据,例如位置、应用数据(也包括邮件、联系人、日历、短信等)、屏幕截图、输入按键记录、电话窃听。通过 Alarm 类设置循环定时任务,Chrysaor每过一段时间则会发送给 C2 服务器大量信息,例如位置信息等。而且与信息收集配合,读取特定app目录/data/data 下的内容,将其全部存储到消息队列中,并由Alarm类定期发送给服务器,受到监视的app有:WhatsApp、Twitter、Facebook、Kakoa、Viber、Skype 等。Chrysaor通过ContentObserver收集短信、联系人、邮件以及受监视的 app 的所有更改。当拨打电话时,恶意软件会在后台保持链接,用户可以正常通话,但是当尝试使用设备时只能看见黑屏,因为此时恶意软件正在挂断电话,重置通话设置,所以用户并不能与设备交互。Chrysaor还会通过lib文件监视键入键盘与捕获屏幕。

 

可能出于反取证的目的,Chrysaor也有自我删除功能,分别在以下三种情况触发:

1.C2服务器的指令

2.60天内无法连接到C2服务器

3.存在“/sdcard/MemosForNotes”文件

 

Chrysaor间谍软件使用MQTT协议进行远程通信,MQTT(Message Queue Telemetry Transport)基于“发布/订阅”模式,可用以轻量级数据通讯,构建在 TCP/IP 协议基础上。对于恶意软件来说,它只用了很小的带宽很少的代码量,却可以提供实时可靠的链接,保证了与 C2 服务器的连接。但攻击者也添加了限制条件不使用MQTT协议,恶意软件需要得知当前设备是在使用 WIFI,还是在使用流量等信息,根据具体场景决定是否使用 MQTT。MQTT协议如下图:

此外,Chrysaor 在Java层采用了非常强的混淆,以确保反病毒引擎的静态扫描不会发现恶意软件调用了哪些方法,以及一些看着就很危险的字符串也不会被扫出来,除非动态全部 hook 下来,不然静态分析对此是完全无解的。

 

总结

Pegasus勒索软件与Chrysaor有大量相同点,例如都会注入进程以获得键盘记录,都会使用短信来进行远控,都使用了MQTT协议等。政客、媒体、高管等高目标人群需要高度警惕此类软件,因为其设备中可能有涉及到高价值,攻击方可以不顾代价获取的信息。

Chrysaor 间谍软件 其他
    1条评论
    威胁情报小能手
    纯干货呀~
    2年前
    1
    1
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。