ESET-Forscher analysierten eine aktualisierte Version der Android-Spyware GravityRAT, die WhatsApp-Backupdateien stiehlt und Befehle zum Löschen von Dateien empfangen kann
ESET-Forscher haben eine aktualisierte Version der Android-Spyware GravityRAT identifiziert, die als Messaging-Apps BingeChat und Chatico verbreitet wird. GravityRAT ist ein bekanntermaßen verwendetes Fernzugriffstool seit mindestens 2015 und zuvor bei gezielten Angriffen gegen Indien eingesetzt. Windows-, Android- und macOS-Versionen sind verfügbar, wie zuvor dokumentiert von Cisco Talos, Kaspersky und Cyble. Der Schauspieler hinter GravityRAT bleibt unbekannt; Wir verfolgen die Gruppe intern als SpaceCobra.
Die BingeChat-Kampagne ist höchstwahrscheinlich seit August 2022 aktiv und läuft noch; Die Kampagne mit Chatico ist jedoch nicht mehr aktiv. BingeChat wird über eine Website verbreitet, die kostenlose Messaging-Dienste bewirbt. Bemerkenswert in der neu entdeckten Kampagne ist, dass GravityRAT WhatsApp-Backups exfiltrieren und Befehle zum Löschen von Dateien erhalten kann. Die bösartigen Apps bieten auch legitime Chat-Funktionen, die auf Open Source basieren OMEMO Instant Messenger-App.
- Wir haben eine neue Version der Android GravityRAT-Spyware entdeckt, die als trojanisierte Version der legitimen Open-Source-Android-App OMEMO Instant Messenger verbreitet wird.
- Die mit einem Trojaner infizierte BingeChat-App kann von einer Website heruntergeladen werden, die sie als kostenlosen Messaging- und Filesharing-Dienst präsentiert.
- Diese Version von GravityRAT wurde um zwei neue Funktionen erweitert: den Empfang von Befehlen zum Löschen von Dateien und das Herausfiltern von WhatsApp-Sicherungsdateien.
Kampagnenübersicht
Wir wurden auf diese Kampagne aufmerksam gemacht von MalwareHunterTeam, das den Hash für ein GravityRAT-Beispiel über einen Tweet teilte. Basierend auf dem Namen der APK-Datei wird die bösartige App als BingeChat gebrandmarkt und behauptet, Messaging-Funktionalität bereitzustellen. Wir haben die Website gefunden bingechat[.]net von der dieses Beispiel möglicherweise heruntergeladen wurde (siehe Abbildung 1).
Die Website sollte die schädliche App bereitstellen, nachdem Sie auf die Schaltfläche APP HERUNTERLADEN getippt haben. Besucher müssen sich jedoch anmelden. Wir hatten keine Anmeldeinformationen und die Registrierungen wurden geschlossen (siehe Abbildung 2). Höchstwahrscheinlich öffnen die Betreiber die Registrierung nur dann, wenn sie den Besuch eines bestimmten Opfers erwarten, möglicherweise mit einer bestimmten IP-Adresse, einem bestimmten Standort, einer benutzerdefinierten URL oder innerhalb eines bestimmten Zeitrahmens. Daher glauben wir, dass potenzielle Opfer stark ins Visier genommen werden.
Obwohl wir die BingeChat-App nicht über die Website herunterladen konnten, konnten wir auf VirusTotal eine URL finden (https://downloads.bingechat[.]net/uploadA/c1d8bad13c5359c97cab280f7b561389153/BingeChat.zip), die die bösartige BingeChat-Android-App enthält. Diese App hat den gleichen Hash wie die App im zuvor erwähnten Tweet, was bedeutet, dass diese URL ein Verteilungspunkt für dieses spezielle GravityRAT-Beispiel ist.
Auf denselben Domainnamen wird auch im Code der BingeChat-App verwiesen – ein weiterer Hinweis darauf bingechat[.]net wird zur Verteilung verwendet (siehe Abbildung 3).
Die schädliche App wurde nie im Google Play Store verfügbar gemacht. Es handelt sich um eine trojanisierte Version der legitimen Open-Source-Software OMEMO Instant Messenger (IM) Android-App, trägt aber die Marke BingeChat. OMEMO IM ist eine Neuauflage des Android Jabber-Clients Gespräche.
Wie Sie in Abbildung 4 sehen können, enthält der HTML-Code der bösartigen Website Hinweise darauf, dass er von der legitimen Website kopiert wurde Vorschau.colorlib.com/theme/BingeChat/ am Juli 5th, 2022, mit dem automatisierten Tool HTTrack; colorlib.com ist eine legitime Website, die WordPress-Themes zum Download bereitstellt, aber das BingeChat-Theme scheint dort nicht mehr verfügbar zu sein. Der bingechat[.]net Die Domain wurde am 18. August registriertth 2022.
Wir wissen nicht, wie potenzielle Opfer auf die bösartige Website gelockt oder auf andere Weise entdeckt wurden. Da für das Herunterladen der App ein Konto erforderlich ist und die Registrierung eines neuen Kontos für uns nicht möglich war, gehen wir davon aus, dass potenzielle Opfer gezielt angesprochen wurden. Das Angriffsübersichtsschema ist in Abbildung 5 dargestellt.
Victimology
ESET-Telemetriedaten haben keine Opfer dieser BingeChat-Kampagne erfasst, was weiter darauf hindeutet, dass die Kampagne wahrscheinlich nur auf ein begrenztes Ziel ausgerichtet ist. Unsere Telemetrie hat jedoch eine Entdeckung einer weiteren Android-GravityRAT-Probe in Indien, die im Juni 2022 erfolgte. In diesem Fall wurde GravityRAT als Chatico bezeichnet (siehe Abbildung 6).
Chatico basiert wie BingeChat auf der OMEMO Instant Messenger-App und wird mit GravityRAT trojanisiert. Chatico wurde höchstwahrscheinlich über das verbreitet chatico.co[.]uk Website und kommuniziert auch mit einem C&C-Server. Die Domänen sowohl für die Website als auch für den C&C-Server sind jetzt offline.
Von nun an konzentrieren wir uns nur noch auf die aktive Kampagne mit der BingeChat-App, die über die gleichen schädlichen Funktionen wie Chatico verfügt.
Anrechnung
Die Gruppe hinter der Malware bleibt unbekannt, auch wenn Facebook-Forscher Attribut GravityRAT gehört, wie auch zuvor, einer Gruppe mit Sitz in Pakistan an Spekuliert von Cisco Talos. Wir verfolgen die Gruppe intern unter dem Namen SpaceCobra und ordnen dieser Gruppe sowohl die BingeChat- als auch die Chatico-Kampagnen zu.
Typische schädliche Funktionen für GravityRAT sind mit einem bestimmten Codeabschnitt verbunden, der im Jahr 2020 von zugeschrieben wurde Kaspersky zu einer Gruppe, die Windows-Varianten von GravityRAT verwendet
In 2021, Cyble veröffentlichte eine Analyse einer anderen GravityRAT-Kampagne, die dieselben Muster wie BingeChat aufwies, beispielsweise einen ähnlichen Verbreitungsvektor für den Trojaner, der sich als legitime Chat-App ausgab, in diesem Fall SoSafe Chat, die Verwendung der Open-Source-Software OMEMO IM Code und die gleiche schädliche Funktionalität. In Abbildung 6 sehen Sie einen Vergleich der Schadklassen zwischen dem von Cyble analysierten GravityRAT-Beispiel und dem neuen in BingeChat enthaltenen Beispiel. Basierend auf diesem Vergleich können wir mit großer Sicherheit sagen, dass der Schadcode in BingeChat zur GravityRAT-Malware-Familie gehört
Technische Analyse
Nach dem Start fordert die App den Benutzer auf, alle erforderlichen Berechtigungen zu erteilen, damit er ordnungsgemäß funktioniert, wie in Abbildung 8 dargestellt. Mit Ausnahme der Berechtigung zum Lesen der Anrufprotokolle sind die anderen angeforderten Berechtigungen typisch für jede Messaging-Anwendung, sodass der Gerätebenutzer dies möglicherweise nicht tut Seien Sie alarmiert, wenn die App sie anfordert.
Als Teil der legitimen Funktionalität der App bietet sie Optionen zum Erstellen eines Kontos und zum Anmelden. Bevor sich der Benutzer bei der App anmeldet, beginnt GravityRAT mit seinem C&C-Server zu interagieren, exfiltriert die Daten des Gerätebenutzers und wartet auf die Ausführung von Befehlen. GravityRAT ist in der Lage, Folgendes zu exfiltrieren:
- Anrufprotokolle
- Kontaktliste
- SMS-Nachrichten
- Dateien mit bestimmten Erweiterungen: jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32
- Gerätestandort
- grundlegende Geräteinformationen
Die zu exfiltrierenden Daten werden in Textdateien auf externen Medien gespeichert, dann auf den C&C-Server exfiltriert und schließlich entfernt. Die Dateipfade für die bereitgestellten Daten sind in Abbildung 9 aufgeführt.
Diese Version von GravityRAT weist im Vergleich zu früheren, öffentlich bekannten Versionen von GravityRAT zwei kleine Updates auf. Erstens wird die Liste der zu exfiltrierenden Dateien um diejenigen mit dem erweitert crypt14, crypt12, crypt13, crypt18 und crypt32 Erweiterungen. Bei diesen Kryptadateien handelt es sich um verschlüsselte Backups, die von WhatsApp Messenger erstellt wurden. Zweitens kann es drei Befehle von einem C&C-Server zur Ausführung empfangen:
- Alle Dateien löschen – löscht Dateien mit einer bestimmten Erweiterung, die vom Gerät exfiltriert wurden
- Alle Kontakte löschen – Löscht die Kontaktliste
- Alle Anrufprotokolle löschen – Löscht Anrufprotokolle
Hierbei handelt es sich um sehr spezifische Befehle, die normalerweise nicht in Android-Malware vorkommen. Frühere Versionen von Android GravityRAT konnten überhaupt keine Befehle empfangen; Sie konnten exfiltrierte Daten nur zu einem bestimmten Zeitpunkt auf einen C&C-Server hochladen.
GravityRAT enthält zwei fest codierte C&C-Subdomänen, die in Abbildung 10 dargestellt sind; Es ist jedoch so codiert, dass nur die erste verwendet wird (https://dev.androidadbserver[.]com).
Dieser C&C-Server wird kontaktiert, um ein neues kompromittiertes Gerät zu registrieren und zwei zusätzliche C&C-Adressen abzurufen: https://cld.androidadbserver[.]com und https://ping.androidadbserver[.]com als wir es getestet haben, wie in Abbildung 11 gezeigt.
Auch hier wird nur der erste C&C-Server verwendet, dieses Mal zum Hochladen der Gerätebenutzerdaten, wie in Abbildung 12 dargestellt.
Zusammenfassung
Es ist bekannt, dass er aktiv war seit mindestens 2015, SpaceCobra hat GravityRAT wiederbelebt, um erweiterte Funktionen zum Exfiltrieren von WhatsApp Messenger-Backups und zum Empfangen von Befehlen von einem C&C-Server zum Löschen von Dateien hinzuzufügen. Nach wie vor nutzt diese Kampagne Messaging-Apps als Tarnung für die Verbreitung der GravityRAT-Hintertür. Die Gruppe hinter der Malware verwendet legitimen OMEMO-IM-Code, um die Chat-Funktionalität für die bösartigen Messaging-Apps BingeChat und Chatico bereitzustellen.
Laut ESET-Telemetrie wurde ein Benutzer in Indien von der aktualisierten Chatico-Version des RAT angegriffen, ähnlich wie bei zuvor dokumentierten SpaceCobra-Kampagnen. Die BingeChat-Version wird über eine Website verbreitet, die eine Registrierung erfordert und wahrscheinlich nur dann geöffnet ist, wenn die Angreifer den Besuch bestimmter Opfer erwarten, möglicherweise mit einer bestimmten IP-Adresse, Geolokalisierung, benutzerdefinierten URL oder innerhalb eines bestimmten Zeitrahmens. Auf jeden Fall glauben wir, dass die Kampagne sehr zielgerichtet ist.
IoCs
Mappen
SHA-1 | Paketnamen | Name der ESET-Erkennung | Beschreibung |
---|---|---|---|
2B448233E6C9C4594E385E799CEA9EE8C06923BD | eu.siacs.bingechat | Android/Spy.Gravity.A | GravityRAT gibt sich als BingeChat-App aus. |
25715A41250D4B9933E3599881CE020DE7FA6DC3 | eu.siacs.bingechat | Android/Spy.Gravity.A | GravityRAT gibt sich als BingeChat-App aus. |
1E03CD512CD75DE896E034289CB2F5A529E4D344 | eu.siacs.chatico | Android/Spy.Gravity.A | GravityRAT gibt sich als Chatico-App aus. |
Netzwerk
IP | Domain | Hosting-Anbieter | Zum ersten Mal gesehen | Details |
---|---|---|---|---|
75.2.37[.]224 | jre.jdklibraries[.]com | Amazon.com, Inc. | 2022-11-16 | Chatico C&C-Server. |
104.21.12[.]211 | cld.androidadbserver[.]com adb.androidadbserver[.]com |
Cloudflare, Inc. | 2023-03-16 | BingeChat C&C-Server. |
104.21.24[.]109 | dev.jdklibraries[.]com | Cloudflare, Inc. | N / A | Chatico C&C-Server. |
104.21.41[.]147 | chatico.co[.]uk | Cloudflare, Inc. | 2021-11-19 | Chatico-Vertriebswebsite. |
172.67.196[.]90 | dev.androidadbserver[.]com ping.androidadbserver[.]com |
Cloudflare, Inc. | 2022-11-16 | BingeChat C&C-Server. |
172.67.203[.]168 | bingechat[.]net | Cloudflare, Inc. | 2022-08-18 | BingeChat-Vertriebswebsite. |
Paths
Daten werden an folgenden Orten zur Exfiltration bereitgestellt:
/storage/emulated/0/Android/ebc/oww.log
/storage/emulated/0/Android/ebc/obb.log
/storage/emulated/0/bc/ms.log
/storage/emulated/0/bc/cl.log
/storage/emulated/0/bc/cdcl.log
/storage/emulated/0/bc/cdms.log
/storage/emulated/0/bc/cs.log
/storage/emulated/0/bc/location.log
MITRE ATT&CK-Techniken
Diese Tabelle wurde mit erstellt Version 13 des MITRE ATT&CK-Frameworks.
Taktik | ID | Name und Vorname | Beschreibung |
---|---|---|---|
Beharrlichkeit | T1398 | Boot- oder Logon-Initialisierungsskripte | GravityRAT erhält die BOOT_ABGESCHLOSSEN Sendeabsicht zur Aktivierung beim Gerätestart. |
T1624.001 | Ereignisgesteuerte Ausführung: Broadcast-Empfänger | Die GravityRAT-Funktionalität wird ausgelöst, wenn eines dieser Ereignisse eintritt: USB_DEVICE_ATTACHED, ACTION_CONNECTION_STATE_CHANGED, USER_UNLOCKED, ACTION_POWER_CONNECTED, ACTION_POWER_DISCONNECTED, FLUGZEUG-MODUS, AKKU FAST LEER, BATTERY_OKAY, DATUM_GEÄNDERT, NEUSTART, TIME_TICK, oder CONNECTIVITY_CHANGE. |
|
Verteidigungsflucht | T1630.002 | Entfernung des Indikators auf dem Host: Dateilöschung | GravityRAT entfernt lokale Dateien, die vom Gerät exfiltrierte vertrauliche Informationen enthalten. |
Angewandte F&E | T1420 | Datei- und Verzeichniserkennung | GravityRAT listet verfügbare Dateien auf externem Speicher auf. |
T1422 | Ermittlung der Systemnetzwerkkonfiguration | GravityRAT extrahiert IMEI, IMSI, IP-Adresse, Telefonnummer und Land. | |
T1426 | Systeminformationserkennung | GravityRAT extrahiert Informationen über das Gerät, einschließlich SIM-Seriennummer, Geräte-ID und allgemeine Systeminformationen. | |
Sammlung | T1533 | Daten vom lokalen System | GravityRAT exfiltriert Dateien vom Gerät. |
T1430 | Location-Tracking | GravityRAT verfolgt den Gerätestandort. | |
T1636.002 | Geschützte Benutzerdaten: Anrufprotokolle | GravityRAT extrahiert Anrufprotokolle. | |
T1636.003 | Geschützte Benutzerdaten: Kontaktliste | GravityRAT extrahiert die Kontaktliste. | |
T1636.004 | Geschützte Benutzerdaten: SMS-Nachrichten | GravityRAT extrahiert SMS-Nachrichten. | |
Command and Control | T1437.001 | Application Layer Protocol: Webprotokolle | GravityRAT verwendet HTTPS, um mit seinem C&C-Server zu kommunizieren. |
Exfiltration | T1646 | Exfiltration über C2-Kanal | GravityRAT exfiltriert Daten über HTTPS. |
Impact der HXNUMXO Observatorien | T1641 | Datenmanipulation | GravityRAT entfernt Dateien mit bestimmten Erweiterungen vom Gerät und löscht alle Benutzeranrufprotokolle und die Kontaktliste. |
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- EVM-Finanzen. Einheitliche Schnittstelle für dezentrale Finanzen. Hier zugreifen.
- Quantum Media Group. IR/PR verstärkt. Hier zugreifen.
- PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups/
- :hast
- :Ist
- :nicht
- 1
- 10
- 11
- 12
- 16
- 2020
- 2021
- 2022
- 32
- 500
- 67
- 7
- 8
- 9
- a
- Fähig
- LiveBuzz
- Zugang
- Konto
- aktiv
- Aktivität
- Zusätzliche
- Adresse
- Adressen
- Marketings
- Nach der
- gegen
- alarmiert
- Alle
- erlauben
- ebenfalls
- an
- Analyse
- analysiert
- und
- androide
- Ein anderer
- jedem
- App
- Anwendung
- Apps
- SIND
- AS
- damit verbundenen
- At
- Attacke
- Anschläge
- AUGUST
- Automatisiert
- verfügbar
- Hintertür-
- Sicherungskopie
- Sicherungen
- basierend
- BE
- war
- Bevor
- hinter
- Sein
- Glauben
- gehört
- zwischen
- beide
- gebrandmarkt
- Sendung
- erbaut
- aber
- Taste im nun erscheinenden Bestätigungsfenster nun wieder los.
- by
- rufen Sie uns an!
- Kampagnen (Campaign)
- Kampagnen
- CAN
- Fähigkeiten
- fähig
- Häuser
- Cisco
- aus aller Welt
- Klasse
- Unterricht
- Auftraggeber
- geschlossen
- Code
- codiert
- COM
- gemeinsam
- mit uns kommunizieren,
- Kommunikation
- verglichen
- Vergleich
- Kompromittiert
- Vertrauen
- Konfiguration
- Berücksichtigung
- Kontakt
- enthalten
- enthalten
- enthält
- könnte
- Land
- Abdeckung
- erstellen
- erstellt
- Referenzen
- Krypta
- Zur Zeit
- Original
- technische Daten
- Entdeckung
- Gerät
- entdeckt
- verteilen
- verteilt
- Verteilung
- do
- Tut nicht
- Domain
- Domain Name
- Domains
- herunterladen
- beschäftigt
- verschlüsselt
- verbesserte
- Sogar
- Veranstaltungen
- Beweis
- Außer
- ausführen
- Ausführung
- Exfiltration
- ergänzt
- erwarten
- erweitert
- Erweiterung
- Erweiterungen
- extern
- KONZENTRAT
- FB
- Abbildung
- Reichen Sie das
- Mappen
- Endlich
- Finden Sie
- Vorname
- Setzen Sie mit Achtsamkeit
- Folgende
- Aussichten für
- gefunden
- Frei
- für
- Funktionsumfang
- Funktionalität
- weiter
- erzeugt
- Goes
- Google Play
- Google Play Store
- Schwerkraft
- Gruppe an
- Hash-
- Haben
- mit
- hier
- GUTE
- hoch
- Gastgeber
- Ultraschall
- aber
- HTML
- HTTPS
- ID
- identifiziert
- if
- in
- das
- Dazu gehören
- Einschließlich
- Indien
- Information
- Anfangs-
- sofortig
- Absicht
- interagieren
- innen
- in
- IP
- IP Address
- IT
- SEINE
- jpg
- Juli
- Juni
- nur
- Wissen
- bekannt
- starten
- Schicht
- am wenigsten
- links
- Echt
- legitim
- wahrscheinlich
- Liste
- Gelistet
- Listen
- aus einer regionalen
- Standorte
- Log
- login
- länger
- MacOS
- gemacht
- Malware
- max-width
- Mittel
- Medien
- erwähnt
- Nachrichten
- Messaging
- Messenger
- könnte
- vor allem warme
- Name
- Namen
- notwendig,
- Netzwerk
- hört niemals
- Neu
- neu
- nicht
- bemerkenswert
- jetzt an
- Anzahl
- aufgetreten
- of
- Offline-Bereich.
- on
- EINEM
- laufend
- einzige
- XNUMXh geöffnet
- Open-Source-
- Betreiber
- Optionen
- or
- Andere
- Andernfalls
- UNSERE
- übrig
- Überblick
- Pakistan
- Teil
- besondere
- Muster
- Erlaubnis
- Berechtigungen
- Telefon
- Stück
- Länder/Regionen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Play
- Google Play
- Points
- Punkte
- möglich
- gegebenenfalls
- Potenzial
- Geschenke
- früher
- vorher
- wahrscheinlich
- richtig
- Protokoll
- die
- bietet
- öffentlich
- veröffentlicht
- RAT
- Lesen Sie mehr
- erhalten
- erhält
- Empfang
- aufgezeichnet
- Registrieren
- eingetragen
- Registrierung:
- bleibt bestehen
- entfernt
- Fernzugriff
- Entfernung
- Entfernt
- Zugriffe
- erfordert
- Forscher
- Recht
- gleich
- Schema
- Bildschirm
- Zweite
- sehen
- scheint
- gesehen
- empfindlich
- seriell
- Fertige Server
- Lösungen
- von Locals geführtes
- ,,teilen"
- sollte
- gezeigt
- Schilder
- JA
- ähnlich
- da
- am Standort
- klein
- SMS
- So
- spezifisch
- speziell
- Spyware
- beginnt
- Anfang
- Bundesstaat
- Stiehlt
- Immer noch
- Lagerung
- speichern
- gelagert
- so
- System
- Tabelle
- Talos
- gezielt
- getestet
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Sie
- Thema
- dann
- Dort.
- deswegen
- Diese
- vom Nutzer definierten
- fehlen uns die Worte.
- diejenigen
- obwohl?
- nach drei
- Durch
- Zeit
- Zeitplan
- zu
- Werkzeug
- verfolgen sind
- ausgelöst
- Trojan
- Tweet
- XNUMX
- typisch
- typisch
- für
- unbekannt
- aktualisiert
- Updates
- URL
- us
- -
- benutzt
- Mitglied
- verwendet
- Verwendung von
- Version
- sehr
- Opfer
- Opfer
- Besuchen Sie
- Besucher
- Warten
- wurde
- we
- Netz
- Webseite
- waren
- wann
- welche
- breit
- werden wir
- Fenster
- mit
- .
- WordPress
- Wordpress Themes
- Arbeiten
- XML
- Du
- Zephyrnet