حلل باحثو ESET إصدارًا محدثًا من برامج التجسس Android GravityRAT التي تسرق ملفات WhatsApp الاحتياطية ويمكنها تلقي أوامر لحذف الملفات
حدد باحثو ESET إصدارًا محدثًا من برامج التجسس Android GravityRAT التي يتم توزيعها كتطبيقات المراسلة BingeChat و Chatico. GravityRAT هي أداة وصول عن بعد معروفة للاستخدام منذ ما لا يقل عن 2015 واستخدمت سابقًا في هجمات مستهدفة ضد الهند. تتوفر إصدارات Windows و Android و macOS ، كما تم توثيقه مسبقًا بواسطة سيسكو تالوس, Kasperskyو سايبل. الفاعل الذي يقف وراء GravityRAT لا يزال مجهولاً ؛ نتتبع المجموعة داخليًا باسم SpaceCobra.
على الأرجح نشطة منذ أغسطس 2022 ، لا تزال حملة BingeChat مستمرة ؛ ومع ذلك ، فإن الحملة التي تستخدم Chatico لم تعد نشطة. يتم توزيع BingeChat من خلال موقع ويب يعلن عن خدمات المراسلة المجانية. ملحوظة في الحملة المكتشفة حديثًا ، يمكن لـ GravityRAT إخراج نسخ WhatsApp الاحتياطية وتلقي أوامر لحذف الملفات. توفر التطبيقات الضارة أيضًا وظائف دردشة مشروعة بناءً على المصدر المفتوح تطبيق OMEMO Instant Messenger.
- اكتشفنا إصدارًا جديدًا من برنامج التجسس Android GravityRAT يتم توزيعه كإصدارات في أحصنة طروادة من تطبيق OMEMO Instant Messenger Android الشرعي مفتوح المصدر.
- تطبيق BingeChat ذو طروادة متاح للتنزيل من موقع ويب يقدمه كخدمة رسائل مجانية ومشاركة الملفات.
- تم تحسين هذا الإصدار من GravityRAT بقدرتين جديدتين: تلقي أوامر لحذف الملفات واستخراج ملفات WhatsApp الاحتياطية.
نظرة عامة على الحملة
تم تنبيهنا لهذه الحملة من قبل MalwareHunterTeam، والتي شاركت التجزئة لعينة GravityRAT عبر تغريدة. استنادًا إلى اسم ملف APK ، تم تصنيف التطبيق الضار على أنه BingeChat ويدعي أنه يوفر وظائف المراسلة. وجدنا الموقع bingechat [.] net التي ربما تم تنزيل هذه العينة منها (انظر الشكل 1).
يجب أن يوفر موقع الويب التطبيق الضار بعد النقر على زر تنزيل التطبيق ؛ ومع ذلك ، فإنه يتطلب من الزوار تسجيل الدخول. لم يكن لدينا أوراق اعتماد ، وتم إغلاق التسجيلات (انظر الشكل 2). من المحتمل جدًا أن يقوم المشغلون بفتح التسجيل فقط عندما يتوقعون زيارة ضحية معينة ، ربما باستخدام عنوان IP معين أو موقع جغرافي أو عنوان URL مخصص أو خلال إطار زمني محدد. لذلك ، نعتقد أن الضحايا المحتملين يتم استهدافهم بشكل كبير.
على الرغم من أننا لم نتمكن من تنزيل تطبيق BingeChat عبر موقع الويب ، فقد تمكنا من العثور على عنوان URL على VirusTotal (https://downloads.bingechat[.]net/uploadA/c1d8bad13c5359c97cab280f7b561389153/BingeChat.zip) الذي يحتوي على تطبيق BingeChat Android الضار. يحتوي هذا التطبيق على نفس تجزئة التطبيق في التغريدة المذكورة سابقًا ، مما يعني أن عنوان URL هذا هو نقطة توزيع لعينة GravityRAT المحددة.
تتم الإشارة أيضًا إلى اسم المجال نفسه داخل رمز تطبيق BingeChat - تلميح آخر إلى ذلك bingechat [.] net يستخدم للتوزيع (انظر الشكل 3).
لم يتم إتاحة التطبيق الضار في متجر Google Play مطلقًا. إنها نسخة طروادة من المصدر المفتوح الشرعي برنامج المراسلة الفورية OMEMO (IM) تطبيق Android ، ولكنه يحمل علامة BingeChat. OMEMO IM عبارة عن إعادة بناء لعميل Android Jabber المحادثات.
كما ترى في الشكل 4 ، فإن كود HTML الخاص بالموقع الضار يتضمن دليلاً على أنه تم نسخه من موقع شرعي معاينة. colorlib.com/theme/BingeChat/ في July 5th، 2022 ، باستخدام الأداة الآلية HTTrack؛ colorlib.com هو موقع ويب شرعي يوفر سمات WordPress للتنزيل ، ولكن يبدو أن سمة BingeChat لم تعد متوفرة هناك. ال bingechat [.] net تم تسجيل النطاق في 18 أغسطسth، 2022.
لا نعرف كيف تم استدراج الضحايا المحتملين إلى موقع الويب الضار أو اكتشافهم بطريقة أخرى. بالنظر إلى أن تنزيل التطبيق مشروط بالحصول على حساب وأن تسجيل حساب جديد لم يكن ممكنًا بالنسبة لنا ، فإننا نعتقد أنه تم استهداف الضحايا المحتملين على وجه التحديد. يظهر مخطط نظرة عامة على الهجوم في الشكل 5.
بالضحايا
لم تسجل بيانات ESET للقياس عن بُعد أي ضحايا لحملة BingeChat هذه ، مما يشير إلى أن الحملة ربما تكون مستهدفة بشكل ضيق. ومع ذلك ، فإن القياس عن بعد لدينا لديه اكتشاف واحد لعينة أخرى من Android GravityRAT في الهند والتي حدثت في يونيو 2022. في هذه الحالة ، تم تصنيف GravityRAT على أنه Chatico (انظر الشكل 6).
مثل BingeChat ، يعتمد Chatico على تطبيق OMEMO Instant Messenger ويتم تحويله إلى حصان طروادة باستخدام GravityRAT. تم توزيع Chatico على الأرجح من خلال chatico.co [.] المملكة المتحدة موقع الويب والاتصال أيضًا بخادم القيادة والتحكم. المجالات الخاصة بكل من موقع الويب وخادم القيادة والتحكم غير متصلة الآن.
من الآن فصاعدًا ، سنركز فقط على الحملة النشطة باستخدام تطبيق BingeChat ، الذي له نفس الوظائف الضارة مثل Chatico.
عزو
لا تزال المجموعة التي تقف وراء البرمجيات الخبيثة غير معروفة ، على الرغم من باحثي فيسبوك السمة GravityRAT لمجموعة مقرها في باكستان ، كما في السابق أيضًا تكهن بواسطة سيسكو تالوس. نتتبع المجموعة داخليًا تحت اسم SpaceCobra ، وننسب كل من حملات BingeChat و Chatico إلى هذه المجموعة.
ترتبط الوظائف الخبيثة النموذجية لـ GravityRAT بجزء معين من التعليمات البرمجية التي تم إسنادها في عام 2020 بواسطة Kaspersky لمجموعة تستخدم متغيرات Windows من GravityRAT
في 2021، سايبل نشر تحليلاً لحملة GravityRAT أخرى أظهرت نفس أنماط BingeChat ، مثل متجه توزيع مشابه لمتنقل طروادة الذي يتنكر في شكل تطبيق دردشة شرعي ، والذي كان في هذه الحالة SoSafe Chat ، وهو استخدام المصدر المفتوح أوميمو إم التعليمات البرمجية ونفس الوظائف الضارة. في الشكل 6 ، يمكنك مشاهدة مقارنة بين الفئات الضارة بين عينة GravityRAT التي تم تحليلها بواسطة Cyble والعينة الجديدة الموجودة في BingeChat. بناءً على هذه المقارنة ، يمكننا القول بثقة عالية أن الشفرة الخبيثة في BingeChat تنتمي إلى عائلة البرامج الضارة GravityRAT
التحليل الفني
بعد التشغيل ، يطلب التطبيق من المستخدم السماح لجميع الأذونات اللازمة للعمل بشكل صحيح ، كما هو موضح في الشكل 8. باستثناء إذن قراءة سجلات المكالمات ، تكون الأذونات الأخرى المطلوبة نموذجية لأي تطبيق مراسلة ، لذلك قد لا يفعل مستخدم الجهاز تنزعج عندما يطلب منهم التطبيق.
كجزء من وظائف التطبيق المشروعة ، فإنه يوفر خيارات لإنشاء حساب وتسجيل الدخول. قبل أن يقوم المستخدم بتسجيل الدخول إلى التطبيق ، يبدأ GravityRAT في التفاعل مع خادم القيادة والتحكم الخاص به ، حيث يقوم بسحب بيانات مستخدم الجهاز وانتظار تنفيذ الأوامر. GravityRAT قادر على التسرب:
- سجلات المكالمات
- قائمة الإتصال
- رسائل SMS
- الملفات ذات الامتدادات المحددة: jpg و jpeg و log و png و PNG و JPG و JPEG و txt و pdf و xml و doc و xls و xlsx و ppt و pptx و docx و opus و crypt14 و crypt12 و crypt13 و crypt18 و crypt32
- موقع الجهاز
- معلومات الجهاز الأساسية
يتم تخزين البيانات المراد تسريبها في ملفات نصية على وسائط خارجية ، ثم يتم إخراجها إلى خادم القيادة والتحكم ، وإزالتها في النهاية. يتم سرد مسارات الملفات للبيانات المرحلية في الشكل 9.
يحتوي هذا الإصدار من GravityRAT على تحديثين صغيرين مقارنة بالإصدارات السابقة المعروفة من GravityRAT. أولاً ، يقوم بتوسيع قائمة الملفات ليتم إخراجها إلى أولئك الذين لديهم امتداد crypt14, crypt12, crypt13, crypt18و crypt32 ملحقات. ملفات التشفير هذه عبارة عن نسخ احتياطية مشفرة تم إنشاؤها بواسطة WhatsApp Messenger. ثانيًا ، يمكن أن يتلقى ثلاثة أوامر من خادم القيادة والتحكم لتنفيذها:
- حذف جميع الملفات - يحذف الملفات ذات الامتداد المحدد ، المسربة من الجهاز
- حذف جميع جهات الاتصال - يحذف قائمة الاتصال
- حذف جميع سجلات المكالمات - يحذف سجلات المكالمات
هذه أوامر محددة جدًا لا تظهر عادةً في برامج Android الضارة. لم تتمكن الإصدارات السابقة من Android GravityRAT من تلقي الأوامر على الإطلاق ؛ يمكنهم فقط تحميل البيانات المسربة إلى خادم القيادة والتحكم في وقت معين.
يحتوي GravityRAT على مجالين فرعيين C&C موضَّحين في الشكل 10 ؛ ومع ذلك ، يتم ترميزه لاستخدام أول واحد فقط (https://dev.androidadbserver[.]com).
يتم الاتصال بخادم القيادة والتحكم هذا لتسجيل جهاز مخترق جديد ، ولاسترداد عنواني C & C إضافيين: https://cld.androidadbserver[.]com و https://ping.androidadbserver[.]com عندما اختبرناها ، كما هو موضح في الشكل 11.
مرة أخرى ، يتم استخدام أول خادم C&C فقط ، وهذه المرة لتحميل بيانات مستخدم الجهاز ، كما هو موضح في الشكل 12.
وفي الختام
معروف بأنه نشط منذ ما لا يقل عن 2015، أعادت SpaceCobra إحياء GravityRAT لتشمل وظائف موسعة لاستخراج نسخ WhatsApp Messenger الاحتياطية وتلقي أوامر من خادم C & C لحذف الملفات. تمامًا كما في السابق ، تستخدم هذه الحملة تطبيقات المراسلة كغطاء لتوزيع الباب الخلفي GravityRAT. تستخدم المجموعة التي تقف وراء البرامج الضارة كود OMEMO IM الشرعي لتوفير وظائف الدردشة لتطبيقات المراسلة الضارة BingeChat و Chatico.
وفقًا لـ ESET عن بُعد ، تم استهداف مستخدم في الهند بواسطة إصدار Chatico المحدث من RAT ، على غرار حملات SpaceCobra الموثقة مسبقًا. يتم توزيع إصدار BingeChat من خلال موقع ويب يتطلب التسجيل ، ومن المحتمل أن يتم فتحه فقط عندما يتوقع المهاجمون زيارة ضحايا معينين ، ربما باستخدام عنوان IP معين أو موقع جغرافي أو عنوان URL مخصص أو ضمن إطار زمني محدد. على أي حال ، نعتقد أن الحملة شديدة الاستهداف.
شركات النفط العالمية
ملفات
SHA-1 | اسم الحزمة | اسم اكتشاف ESET | الوصف |
---|---|---|---|
2B448233E6C9C4594E385E799CEA9EE8C06923BD | eu.siacs.bingechat | Android / Spy.Gravity.A | GravityRAT ينتحل شخصية تطبيق BingeChat. |
25715A41250D4B9933E3599881CE020DE7FA6DC3 | eu.siacs.bingechat | Android / Spy.Gravity.A | GravityRAT ينتحل شخصية تطبيق BingeChat. |
1E03CD512CD75DE896E034289CB2F5A529E4D344 | eu.siacs.chatico | Android / Spy.Gravity.A | GravityRAT ينتحل شخصية تطبيق Chatico. |
شبكة
IP | نطاق | مزود استضافة | الروية الأولى | التفاصيل |
---|---|---|---|---|
75.2.37 [.] 224 | مكتبات jre.jdklibraries [.] com | Amazon.com، Inc. | 2022-11-16 | خادم Chatico C&C. |
104.21.12 [.] 211 | cld.androidadbserver [.] com adb.androidadbserver [.] com |
Cloudflare، Inc. | 2023-03-16 | خوادم BingeChat C&C. |
104.21.24 [.] 109 | مكتبات dev.jdklibraries [.] com | Cloudflare، Inc. | N / A | خادم Chatico C&C. |
104.21.41 [.] 147 | chatico.co [.] المملكة المتحدة | Cloudflare، Inc. | 2021-11-19 | موقع توزيع شاتيكو. |
172.67.196 [.] 90 | dev.androidadbserver [.] com ping.androidadbserver [.] com |
Cloudflare، Inc. | 2022-11-16 | خوادم BingeChat C&C. |
172.67.203 [.] 168 | bingechat [.] net | Cloudflare، Inc. | 2022-08-18 | موقع توزيع BingeChat. |
مسارات
يتم تنظيم البيانات للتسلل في الأماكن التالية:
/storage/emulated/0/Android/ebc/oww.log
/storage/emulated/0/Android/ebc/obb.log
/storage/emulated/0/bc/ms.log
/storage/emulated/0/bc/cl.log
/storage/emulated/0/bc/cdcl.log
/storage/emulated/0/bc/cdms.log
/storage/emulated/0/bc/cs.log
/storage/emulated/0/bc/location.log
تقنيات MITER ATT & CK
تم بناء هذا الجدول باستخدام إصدار 13 من إطار MITER ATT & CK.
تكتيك | ID | الاسم | الوصف |
---|---|---|---|
إصرار | T1398 | التمهيد أو البرامج النصية لتهيئة تسجيل الدخول | يتلقى GravityRAT ملف مكتمل نية البث للتنشيط عند بدء تشغيل الجهاز. |
T1624.001 | تنفيذ الحدث المُثار: مستقبلات البث | يتم تشغيل وظيفة GravityRAT في حالة حدوث أحد هذه الأحداث: USB_DEVICE_ATTACHED ، ACTION_CONNECTION_STATE_CHANGED ، USER_UNLOCKED ، ACTION_POWER_CONNECTED ، ACTION_POWER_DISCONNECTED ، وضع الطيران، البطارية ضعيفة، BATTERY_OKAY ، DATE_CHANGED ، اعادة التشغيل، TIME_TICK أو الاتصال_تغيير. |
|
التهرب الدفاعي | T1630.002 | إزالة المؤشر على المضيف: حذف الملف | يقوم GravityRAT بإزالة الملفات المحلية التي تحتوي على معلومات حساسة تم إخراجها من الجهاز. |
الاكتشاف | T1420 | اكتشاف الملفات والدليل | يسرد GravityRAT الملفات المتاحة على وحدة التخزين الخارجية. |
T1422 | اكتشاف تكوين شبكة النظام | تقوم GravityRAT باستخراج IMEI و IMSI وعنوان IP ورقم الهاتف والبلد. | |
T1426 | اكتشاف معلومات النظام | يستخرج GravityRAT معلومات حول الجهاز ، بما في ذلك الرقم التسلسلي لبطاقة SIM ومعرف الجهاز ومعلومات النظام الشائعة. | |
مجموعة | T1533 | البيانات من النظام المحلي | GravityRAT يخرج الملفات من الجهاز. |
T1430 | تتبع الموقع | GravityRAT يتتبع موقع الجهاز. | |
T1636.002 | بيانات المستخدم المحمية: سجلات المكالمات | GravityRAT مقتطفات من سجلات المكالمات. | |
T1636.003 | بيانات المستخدم المحمية: قائمة جهات الاتصال | GravityRAT يستخرج قائمة جهات الاتصال. | |
T1636.004 | بيانات المستخدم المحمية: رسائل SMS | GravityRAT يستخرج رسائل SMS. | |
القيادة والتحكم | T1437.001 | بروتوكول طبقة التطبيق: بروتوكولات الويب | يستخدم GravityRAT بروتوكول HTTPS للتواصل مع خادم القيادة والتحكم الخاص به. |
exfiltration | T1646 | تسلل عبر قناة C2 | تقوم GravityRAT بسحب البيانات باستخدام HTTPS. |
التأثير | T1641 | التلاعب بالبيانات | يقوم GravityRAT بإزالة الملفات ذات الامتدادات الخاصة من الجهاز ، ويحذف جميع سجلات مكالمات المستخدم وقائمة جهات الاتصال. |
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- تمويل EVM. واجهة موحدة للتمويل اللامركزي. الوصول هنا.
- مجموعة كوانتوم ميديا. تضخيم IR / PR. الوصول هنا.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups/
- :لديها
- :يكون
- :ليس
- 1
- 10
- 11
- 12
- 16
- 2020
- 2021
- 2022
- 32
- 500
- 67
- 7
- 8
- 9
- a
- ماهرون
- من نحن
- الوصول
- حسابي
- نشط
- نشاط
- إضافي
- العنوان
- عناوين
- دعاية
- بعد
- ضد
- قلق
- الكل
- السماح
- أيضا
- an
- تحليل
- حلل
- و
- الروبوت
- آخر
- أي وقت
- التطبيق
- تطبيق
- التطبيقات
- هي
- AS
- أسوشيتد
- At
- مهاجمة
- الهجمات
- أغسطس
- الآلي
- متاح
- الباب الخلفي
- دعم
- النسخ الاحتياطي
- على أساس
- BE
- كان
- قبل
- وراء
- يجري
- اعتقد
- ينتمي
- ما بين
- على حد سواء
- وصفت
- بث
- بنيت
- لكن
- زر
- by
- دعوة
- الحملات
- الحملات
- CAN
- قدرات
- قادر على
- حقيبة
- سيسكو
- مطالبات
- فئة
- فصول
- زبون
- صندوق توظيف برأس مال محدود
- الكود
- مشفرة
- COM
- مشترك
- التواصل
- Communication
- مقارنة
- مقارنة
- تسوية
- الثقة
- الاعداد
- النظر
- التواصل
- تحتوي على
- الواردة
- يحتوي
- استطاع
- البلد
- بهيكل
- خلق
- خلق
- أوراق اعتماد
- سرداب
- حاليا
- على
- البيانات
- كشف
- جهاز
- اكتشف
- نشر
- وزعت
- توزيع
- do
- لا
- نطاق
- اسم نطاق
- المجالات
- بإمكانك تحميله
- توظف
- مشفرة
- تعزيز
- حتى
- أحداث
- دليل
- إلا
- تنفيذ
- exfiltration
- موسع
- توقع
- يمتد
- تمديد
- اضافات المتصفح
- خارجي
- مقتطفات
- فيسبوك
- FB
- الشكل
- قم بتقديم
- ملفات
- أخيرا
- الاسم الأول
- تركز
- متابعيك
- في حالة
- وجدت
- مجانا
- تبدأ من
- وظائف
- وظيفة
- إضافي
- ولدت
- يذهب
- شراء مراجعات جوجل
- Google Play
- متجر Google Play
- خطورة
- تجمع
- مزيج
- يملك
- وجود
- هنا
- مرتفع
- جدا
- مضيف
- كيفية
- لكن
- HTML
- HTTPS
- ID
- محدد
- if
- in
- تتضمن
- يشمل
- بما فيه
- الهند
- معلومات
- في البداية
- لحظة
- نية
- تفاعل
- داخليا
- إلى
- IP
- عنوان IP
- IT
- انها
- JPG
- يوليو
- يونيو
- م
- علم
- معروف
- إطلاق
- طبقة
- الأقل
- اليسار
- شرعي
- شرعي
- على الأرجح
- قائمة
- المدرج
- قوائم
- محلي
- موقع
- سجل
- تسجيل الدخول
- يعد
- ماك
- صنع
- البرمجيات الخبيثة
- ماكس العرض
- يعني
- الوسائط
- المذكورة
- رسائل
- الرسائل
- رسول
- ربما
- أكثر
- الاسم
- أسماء
- ضروري
- شبكة
- أبدا
- جديد
- حديثا
- لا
- جدير بالذكر
- الآن
- عدد
- حدث
- of
- حاليا
- on
- ONE
- جارية
- فقط
- جاكيت
- المصدر المفتوح
- مشغلي
- مزيد من الخيارات
- or
- أخرى
- وإلا
- لنا
- خارج
- على مدى
- نظرة عامة
- باكستان
- جزء
- خاص
- أنماط
- إذن
- أذونات
- للهواتف
- قطعة
- وجهات
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بلايستشن
- اللعب مخزن
- البوينت
- نقاط
- ممكن
- ربما
- محتمل
- الهدايا
- سابق
- سابقا
- المحتمل
- بصورة صحيحة
- بروتوكول
- تزود
- ويوفر
- علانية
- نشرت
- RAT
- عرض
- تسلم
- يتلقى
- يستلم
- مسجل
- تسجيل جديد
- مسجل
- التسجيل
- بقايا
- عن بعد
- الوصول عن بعد
- إزالة
- إزالة
- طلبات
- يتطلب
- الباحثين
- حق
- نفسه
- مخطط
- شاشة
- الثاني
- انظر تعريف
- يبدو
- رأيت
- حساس
- مسلسل
- خوادم
- الخدمة
- خدماتنا
- شاركت
- مشاركة
- ينبغي
- أظهرت
- لوحات
- الشريحة
- مماثل
- منذ
- الموقع
- صغير
- SMS
- So
- محدد
- على وجه التحديد
- برامج التجسس
- يبدأ
- بدء التشغيل
- الولايه او المحافظه
- تسرق
- لا يزال
- تخزين
- متجر
- تخزين
- هذه
- نظام
- جدول
- تالوس
- المستهدفة
- اختبار
- أن
- •
- منهم
- موضوع
- then
- هناك.
- وبالتالي
- تشبه
- هم
- هؤلاء
- على الرغم من؟
- ثلاثة
- عبر
- الوقت
- إطار زمني
- إلى
- أداة
- مسار
- أثار
- حصان طروادة
- سقسقة
- اثنان
- نموذجي
- عادة
- مع
- غير معروف
- تحديث
- آخر التحديثات
- URL
- us
- تستخدم
- مستعمل
- مستخدم
- يستخدم
- استخدام
- الإصدار
- جدا
- بواسطة
- ضحية
- ضحايا
- قم بزيارتنا
- الزوار
- انتظار
- وكان
- we
- الويب
- الموقع الإلكتروني
- كان
- الواتساب
- متى
- التي
- واسع
- سوف
- نوافذ
- مع
- في غضون
- WordPress
- وورد المواضيع
- للعمل
- XML
- أنت
- زفيرنت