ESET-i teadlased analüüsisid Android GravityRAT nuhkvara uuendatud versiooni, mis varastab WhatsAppi varukoopiaid ja saab failide kustutamise käske
ESET-i teadlased on tuvastanud Android GravityRAT nuhkvara värskendatud versiooni, mida levitatakse sõnumsiderakendustena BingeChat ja Chatico. GravityRAT on kaugjuurdepääsu tööriist, mida teadaolevalt kasutatakse sest vähemalt 2015 ja seda kasutati varem India vastu suunatud rünnakutes. Windowsi, Androidi ja macOS-i versioonid on saadaval, nagu on varem dokumenteerinud Cisco Talos, Kasperskyja Cybele. GravityRATi taga olev näitleja jääb teadmata; jälgime gruppi sisemiselt SpaceCobra nime all.
Suure tõenäosusega aktiivne alates 2022. aasta augustist, BingeChati kampaania on endiselt pooleli; Chaticot kasutav kampaania pole aga enam aktiivne. BingeChati levitatakse tasuta sõnumsideteenuseid reklaamiva veebisaidi kaudu. Äsja avastatud kampaanias on märkimisväärne, et GravityRAT suudab WhatsAppi varukoopiaid välja filtreerida ja saada käske failide kustutamiseks. Pahatahtlikud rakendused pakuvad avatud lähtekoodil põhinevat ka legitiimset vestlusfunktsiooni Rakendus OMEMO Instant Messenger.
- Avastasime Android GravityRAT nuhkvara uue versiooni, mida levitatakse legitiimse avatud lähtekoodiga Androidi rakenduse OMEMO Instant Messenger troojastatud versioonidena.
- Troojastatud rakendus BingeChat on allalaadimiseks saadaval veebisaidilt, mis esitleb seda tasuta sõnumside- ja failijagamisteenusena.
- Seda GravityRAT-i versiooni täiustatakse kahe uue võimalusega: failide kustutamise käskude vastuvõtmine ja WhatsAppi varufailide väljafiltreerimine.
Kampaania ülevaade
Meid teavitas sellest kampaaniast MalwareHunterTeam, mis jagas säutsu kaudu GravityRAT-i näidise räsi. APK-faili nime põhjal on pahatahtlik rakendus kaubamärgiga BingeChat ja väidetavalt pakub sõnumsidefunktsiooni. Leidsime veebisaidi bingechat[.]net kust see näidis võidi alla laadida (vt joonis 1).
Veebisait peaks pakkuma pahatahtlikku rakendust pärast nupu Laadi RAKEND ALLA puudutamist; aga see nõuab külastajatelt sisselogimist. Meil polnud mandaate ja registreerimised suleti (vt joonis 2). On kõige tõenäolisem, et operaatorid avavad registreerimise ainult siis, kui nad eeldavad, et konkreetne ohver külastab, võib-olla teatud IP-aadressi, geograafilise asukoha, kohandatud URL-iga või teatud aja jooksul. Seetõttu usume, et potentsiaalsed ohvrid on väga sihitud.
Kuigi me ei saanud BingeChati rakendust veebisaidi kaudu alla laadida, leidsime VirusTotalist URL-i (https://downloads.bingechat[.]net/uploadA/c1d8bad13c5359c97cab280f7b561389153/BingeChat.zip), mis sisaldab pahatahtlikku Androidi rakendust BingeChat. Sellel rakendusel on sama räsi nagu eelnevalt mainitud säutsu rakendusel, mis tähendab, et see URL on selle konkreetse GravityRAT-i näidise levipunkt.
Samale domeeninimele viidatakse ka rakenduse BingeChat koodis – veel üks vihje sellele bingechat[.]net kasutatakse levitamiseks (vt joonis 3).
Pahatahtlikku rakendust pole kunagi Google Play poes kättesaadavaks tehtud. See on legitiimse avatud lähtekoodiga troojastatud versioon OMEMO Instant Messenger (IM) Androidi rakendus, kuid selle kaubamärk on BingeChat. OMEMO IM on Android Jabberi kliendi ümberehitamine Vestlused.
Nagu näete jooniselt 4, sisaldab pahatahtliku saidi HTML-kood tõendeid selle kohta, et see kopeeriti seaduslikult saidilt preview.colorlib.com/theme/BingeChat/ juulil 5th, 2022, kasutades automatiseeritud tööriista HTTrack; colorlib.com on seaduslik veebisait, mis pakub allalaadimiseks WordPressi teemasid, kuid näib, et BingeChati teema pole seal enam saadaval. The bingechat[.]net domeen registreeriti 18. augustilth, 2022.
Me ei tea, kuidas potentsiaalseid ohvreid pahatahtlikule veebisaidile meelitati või muul viisil avastati. Arvestades, et rakenduse allalaadimise tingimuseks on konto olemasolu ja uue konto registreerimine polnud meie jaoks võimalik, usume, et potentsiaalsed ohvrid olid konkreetselt suunatud. Rünnaku ülevaate skeem on näidatud joonisel 5.
Viktimoloogia
ESET-i telemeetriaandmed ei ole registreerinud ühtegi selle BingeChati kampaania ohvrit, mis viitab veelgi sellele, et kampaania on tõenäoliselt kitsalt sihitud. Meie telemeetria tuvastab aga ühe teise Androidi GravityRAT-i näidise Indias, mis leidis aset juunis 2022. Sel juhul märgiti GravityRAT-i kaubamärgiks Chatico (vt joonis 6).
Nagu BingeChat, põhineb Chatico OMEMO Instant Messengeri rakendusel ja troojastatakse GravityRAT-iga. Chaticot levitati tõenäoliselt selle kaudu chatico.co[.]uk veebisaiti ja suhelnud ka C&C serveriga. Nii veebisaidi kui ka C&C serveri domeenid on nüüd võrguühenduseta.
Edaspidi keskendume ainult aktiivsele kampaaniale, mis kasutab rakendust BingeChat, millel on sama pahatahtlik funktsionaalsus nagu Chaticol.
omistamine
Pahavara taga olev grupp jääb teadmata, kuigi Facebooki teadlased atribuut GravityRAT Pakistanis asuvale grupile, nagu ka varem spekuleerinud autor Cisco Talos. Jälgime gruppi sisemiselt SpaceCobra nime all ja omistame sellele grupile nii BingeChati kui ka Chatico kampaaniad.
GravityRAT-i tüüpiline pahatahtlik funktsionaalsus on seotud konkreetse koodilõiuga, mille 2020. aastal omistas Kaspersky rühmale, mis kasutab GravityRATi Windowsi variante
Aastal 2021, Cybele avaldas analüüsi teise GravityRAT-i kampaania kohta, millel olid samad mustrid nagu BingeChat, näiteks sarnane jaotusvektor trooja jaoks, mis maskeeriti legitiimseks vestlusrakenduseks, milleks antud juhul oli avatud lähtekoodiga rakendus SoSafe Chat. OMEMO IM koodi ja sama pahatahtliku funktsiooni. Joonisel 6 näete pahatahtlike klasside võrdlust Cyble'i analüüsitud GravityRAT proovi ja BingeChatis sisalduva uue proovi vahel. Selle võrdluse põhjal võime suure kindlusega väita, et BingeChatis olev pahatahtlik kood kuulub GravityRAT pahavara perekonda.
Tehniline analüüs
Pärast käivitamist palub rakendus kasutajal lubada kõik vajalikud õigused korralikult töötada, nagu on näidatud joonisel 8. Välja arvatud kõnelogide lugemise luba, on muud taotletavad load tüüpilised mis tahes sõnumsiderakendustele, nii et seadme kasutaja ei pruugi olla ärevil, kui rakendus seda nõuab.
Rakenduse seadusliku funktsionaalsuse osana pakub see võimalusi konto loomiseks ja sisselogimiseks. Enne kui kasutaja rakendusse sisse logib, hakkab GravityRAT suhtlema oma C&C serveriga, eksfiltreerides seadme kasutaja andmed ja oodates käskude täitmist. GravityRAT on võimeline välja filtreerima:
- kõnelogid
- kontaktide nimekiri
- SMS-sõnumite
- kindlate laienditega failid: jpg, jpeg, logi, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32
- seadme asukoht
- seadme põhiteave
Eksfiltreeritavad andmed salvestatakse tekstifailidesse välisel andmekandjal, seejärel eksfiltreeritakse C&C serverisse ja lõpuks eemaldatakse. Lavastatud andmete failiteed on loetletud joonisel 9.
Sellel GravityRAT-i versioonil on kaks väikest värskendust võrreldes eelmiste, avalikult tuntud GravityRAT-i versioonidega. Esiteks laiendab see väljafiltreeritavate failide loendit nendeni, millel on crypt14, crypt12, crypt13, crypt18ja crypt32 laiendused. Need krüptitud failid on WhatsApp Messengeri loodud krüptitud varukoopiad. Teiseks võib see C&C-serverist vastu võtta kolm käsku täitmiseks:
- Kustuta kõik failid – kustutab seadmest väljafiltreeritud kindla laiendiga failid
- Kustuta kõik kontaktid – kustutab kontaktide loendi
- Kustuta kõik kõnelogid – kustutab kõnelogid
Need on väga spetsiifilised käsud, mida Androidi pahavara puhul tavaliselt ei näe. Android GravityRAT varasemad versioonid ei saanud üldse käske vastu võtta; nad said teatud ajahetkel C&C serverisse üles laadida ainult väljafiltreeritud andmeid.
GravityRAT sisaldab kahte kõvakodeeritud C&C alamdomeeni, mis on näidatud joonisel 10; aga see on kodeeritud kasutama ainult esimest (https://dev.androidadbserver[.]com).
Selle C&C-serveriga võetakse ühendust uue ohustatud seadme registreerimiseks ja kahe täiendava C&C-aadressi toomiseks. https://cld.androidadbserver[.]com ja https://ping.androidadbserver[.]com kui me seda testisime, nagu on näidatud joonisel 11.
Jällegi kasutatakse ainult esimest C&C serverit, seekord seadme kasutaja andmete üleslaadimiseks, nagu on näha joonisel 12.
Järeldus
Teadaolevalt aktiivne olnud sest vähemalt 2015, on SpaceCobra taaselustanud GravityRAT-i, et hõlmata laiendatud funktsioone WhatsApp Messengeri varukoopiate väljafiltreerimiseks ja C&C-serverist failide kustutamise käskude vastuvõtmiseks. Nagu varemgi, kasutab see kampaania GravityRAT tagaukse levitamiseks kattena sõnumsiderakendusi. Pahavara taga olev rühm kasutab pahatahtlike sõnumsiderakenduste BingeChat ja Chatico vestlusfunktsioonide pakkumiseks seaduslikku OMEMO IM-koodi.
ESET-i telemeetria andmetel oli RATi uuendatud Chatico versioon sarnaselt varem dokumenteeritud SpaceCobra kampaaniatele suunatud Indias asuvale kasutajale. BingeChati versiooni levitatakse veebisaidi kaudu, mis nõuab registreerimist. Tõenäoliselt avaneb see ainult siis, kui ründajad ootavad teatud ohvrite külastamist, võib-olla teatud IP-aadressi, geograafilise asukoha, kohandatud URL-iga või kindla aja jooksul. Igal juhul usume, et kampaania on väga sihitud.
IoC-d
Faile
SHA-1 | Pakendi nimi | ESET-i tuvastamise nimi | Kirjeldus |
---|---|---|---|
2B448233E6C9C4594E385E799CEA9EE8C06923BD | eu.siacs.binchechat | Android/Spy.Gravity.A | GravityRAT, kes kehastab rakendust BingeChat. |
25715A41250D4B9933E3599881CE020DE7FA6DC3 | eu.siacs.binchechat | Android/Spy.Gravity.A | GravityRAT, kes kehastab rakendust BingeChat. |
1E03CD512CD75DE896E034289CB2F5A529E4D344 | eu.siacs.chatico | Android/Spy.Gravity.A | GravityRAT kehastav Chatico rakendus. |
võrk
IP | Domeen | Hostimise pakkuja | Esimest korda nähtud | Detailid |
---|---|---|---|---|
75.2.37[.]224 | jre.jdklibraries[.]com | Amazon.com, Inc. | 2022-11-16 | Chatico C&C server. |
104.21.12[.]211 | cld.androidadbserver[.]com adb.androidadbserver[.]com |
Cloudflare, Inc. | 2023-03-16 | BingeChat C&C serverid. |
104.21.24[.]109 | dev.jdklibraries[.]com | Cloudflare, Inc. | N / A | Chatico C&C server. |
104.21.41[.]147 | chatico.co[.]uk | Cloudflare, Inc. | 2021-11-19 | Chatico levitamise veebisait. |
172.67.196[.]90 | dev.androidadbserver[.]com ping.androidadbserver[.]com |
Cloudflare, Inc. | 2022-11-16 | BingeChat C&C serverid. |
172.67.203[.]168 | bingechat[.]net | Cloudflare, Inc. | 2022-08-18 | BingeChati levitamise veebisait. |
Paths
Andmed on lavastatud eksfiltreerimiseks järgmistes kohtades:
/storage/emulated/0/Android/ebc/oww.log
/storage/emulated/0/Android/ebc/obb.log
/storage/emulated/0/bc/ms.log
/storage/emulated/0/bc/cl.log
/storage/emulated/0/bc/cdcl.log
/storage/emulated/0/bc/cdms.log
/storage/emulated/0/bc/cs.log
/storage/emulated/0/bc/location.log
MITER ATT&CK tehnikad
See laud on ehitatud kasutades versioon 13 MITER ATT&CK raamistikust.
Taktika | ID | Nimi | Kirjeldus |
---|---|---|---|
Püsivus | T1398 | Käivitamise või sisselogimise initsialiseerimise skriptid | GravityRAT võtab vastu BOOT_COMPLETED leviedastuse kavatsus aktiveerida seadme käivitamisel. |
T1624.001 | Sündmuse käivitatud täitmine: ringhäälingu vastuvõtjad | GravityRAT-i funktsioon käivitub, kui toimub üks järgmistest sündmustest: USB_DEVICE_ATTACHED, ACTION_CONNECTION_STATE_CHANGED, USER_UNLOCKED, ACTION_POWER_CONNECTED, ACTION_POWER_DISCONNECTED, AIRPLANE_MODE, BATTERY_LOW, BATTERY_OKAY, DATE_CHANGED, REBOOT, TIME_TICK või CONNECTIVITY_CHANGE. |
|
Kaitsest kõrvalehoidmine | T1630.002 | Näidiku eemaldamine hostis: faili kustutamine | GravityRAT eemaldab kohalikud failid, mis sisaldavad seadmest väljafiltreeritud tundlikku teavet. |
avastus | T1420 | Failide ja kataloogide avastamine | GravityRAT loetleb välisel salvestusruumil saadaolevad failid. |
T1422 | Süsteemi võrgukonfiguratsiooni avastamine | GravityRAT eraldab IMEI, IMSI, IP-aadressi, telefoninumbri ja riigi. | |
T1426 | Süsteemi teabe avastamine | GravityRAT ekstraheerib seadme kohta teavet, sealhulgas SIM-kaardi seerianumbrit, seadme ID-d ja tavalist süsteemiteavet. | |
kogumine | T1533 | Andmed kohalikust süsteemist | GravityRAT eemaldab failid seadmest. |
T1430 | Asukoha jälgimine | GravityRAT jälgib seadme asukohta. | |
T1636.002 | Kaitstud kasutajaandmed: kõnelogid | GravityRAT ekstraheerib kõnelogid. | |
T1636.003 | Kaitstud kasutajaandmed: kontaktide loend | GravityRAT ekstraheerib kontaktide loendi. | |
T1636.004 | Kaitstud kasutajaandmed: SMS-sõnumid | GravityRAT ekstraheerib SMS-sõnumeid. | |
Juhtimine ja kontroll | T1437.001 | Rakenduskihi protokoll: veebiprotokollid | GravityRAT kasutab oma C&C-serveriga suhtlemiseks HTTPS-i. |
Välja filtreerimine | T1646 | Eksfiltratsioon C2 kanali kaudu | GravityRAT eksfiltreerib andmed HTTPS-i abil. |
mõju | T1641 | Andmete käsitlemine | GravityRAT eemaldab seadmest teatud laiendustega failid ning kustutab kõik kasutajate kõnelogid ja kontaktide loendi. |
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- EVM Finance. Detsentraliseeritud rahanduse ühtne liides. Juurdepääs siia.
- Quantum Media Group. IR/PR võimendatud. Juurdepääs siia.
- PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups/
- :on
- :on
- :mitte
- 1
- 10
- 11
- 12
- 16
- 2020
- 2021
- 2022
- 32
- 500
- 67
- 7
- 8
- 9
- a
- Võimalik
- MEIST
- juurdepääs
- konto
- aktiivne
- tegevus
- Täiendavad lisad
- aadress
- aadressid
- reklaam
- pärast
- vastu
- murettekitav
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- Ka
- an
- analüüs
- analüüsitud
- ja
- android
- Teine
- mistahes
- app
- taotlus
- apps
- OLEME
- AS
- seotud
- At
- rünnak
- Reageerib
- AUGUST
- Automatiseeritud
- saadaval
- tagauks
- Varundamine
- varukoopiaid
- põhineb
- BE
- olnud
- enne
- taga
- on
- Uskuma
- kuulub
- vahel
- mõlemad
- kaubamärgiga
- ülekanne
- ehitatud
- kuid
- nupp
- by
- helistama
- Kampaania
- Kampaaniad
- CAN
- võimeid
- võimeline
- juhul
- Cisco
- nõuete
- klass
- klassid
- klient
- suletud
- kood
- kodeeritud
- COM
- ühine
- edastama
- KOMMUNIKATSIOON
- võrreldes
- võrdlus
- Kompromissitud
- usaldus
- konfiguratsioon
- arvestades
- kontakt
- sisaldama
- sisaldub
- sisaldab
- võiks
- riik
- cover
- looma
- loodud
- volikiri
- krüpt
- Praegu
- tava
- andmed
- Detection
- seade
- avastasin
- levitada
- jagatud
- jaotus
- do
- Ei tee
- domeen
- Domeeninimi
- Domeenid
- lae alla
- töötab
- krüpteeritud
- tõhustatud
- Isegi
- sündmused
- tõend
- Välja arvatud
- täitma
- täitmine
- eksfiltreerimine
- laiendatud
- ootama
- laieneb
- laiendamine
- laiendused
- väline
- Väljavõtted
- FB
- Joonis
- fail
- Faile
- Lõpuks
- leidma
- esimene
- Keskenduma
- Järel
- eest
- avastatud
- tasuta
- Alates
- funktsionaalsused
- funktsionaalsus
- edasi
- loodud
- Goes
- Google Play
- Google Play Store
- raskus
- Grupp
- hash
- Olema
- võttes
- siin
- Suur
- kõrgelt
- võõrustaja
- Kuidas
- aga
- HTML
- HTTPS
- ID
- tuvastatud
- if
- in
- sisaldama
- hõlmab
- Kaasa arvatud
- India
- info
- esialgne
- kiire
- tahtlus
- suhelda
- sisemiselt
- sisse
- IP
- IP-aadress
- IT
- ITS
- jpg
- Juuli
- juuni
- lihtsalt
- Teadma
- teatud
- algatama
- kiht
- kõige vähem
- lahkus
- legit
- õigustatud
- Tõenäoliselt
- nimekiri
- Loetletud
- Nimekirjad
- kohalik
- liising
- logi
- Logi sisse
- enam
- MacOS
- tehtud
- malware
- max laiuse
- vahendid
- Meedia
- mainitud
- kirjad
- Sõnumid
- sõnumitooja
- võib
- kõige
- nimi
- nimed
- vajalik
- võrk
- mitte kunagi
- Uus
- äsja
- ei
- märkimisväärne
- nüüd
- number
- toimunud
- of
- offline
- on
- ONE
- jätkuv
- ainult
- avatud
- avatud lähtekoodiga
- ettevõtjad
- Valikud
- or
- Muu
- muidu
- meie
- välja
- üle
- ülevaade
- Pakistan
- osa
- eriline
- mustrid
- luba
- Õigused
- telefon
- tükk
- Kohad
- Platon
- Platoni andmete intelligentsus
- PlatoData
- mängima
- Mängi Store
- Punkt
- võrra
- võimalik
- võimalik
- potentsiaal
- kingitusi
- eelmine
- varem
- tõenäoliselt
- korralikult
- protokoll
- anda
- annab
- avalikult
- avaldatud
- ROT
- Lugenud
- saama
- saab
- vastuvõtmine
- dokumenteeritud
- registreerima
- registreeritud
- Registreerimine
- jäänused
- kauge
- Remote Access
- eemaldamine
- Eemaldatud
- Taotlusi
- Vajab
- Teadlased
- õige
- sama
- kava
- Ekraan
- Teine
- vaata
- tundub
- nähtud
- tundlik
- seeria-
- Serverid
- teenus
- Teenused
- jagatud
- jagamine
- peaks
- näidatud
- Märgid
- JAH
- sarnane
- alates
- site
- väike
- SMS
- So
- konkreetse
- eriti
- nuhkvara
- algab
- käivitamisel
- riik
- varastatakse
- Veel
- ladustamine
- salvestada
- ladustatud
- selline
- süsteem
- tabel
- Talos
- suunatud
- katsetatud
- et
- .
- Neile
- teema
- SIIS
- Seal.
- seetõttu
- Need
- nad
- see
- need
- kuigi?
- kolm
- Läbi
- aeg
- ajakava
- et
- tööriist
- jälgida
- vallandas
- Trojan
- piiksuma
- kaks
- tüüpiline
- tüüpiliselt
- all
- tundmatu
- ajakohastatud
- Uudised
- URL
- us
- kasutama
- Kasutatud
- Kasutaja
- kasutusalad
- kasutamine
- versioon
- väga
- kaudu
- Ohver
- ohvreid
- visiit
- Külastajad
- ootamine
- oli
- we
- web
- veebisait
- olid
- millal
- mis
- lai
- will
- aknad
- koos
- jooksul
- WordPress
- WordPress teemad
- Töö
- XML
- sa
- sephyrnet