ESET-tutkijat analysoivat päivitetyn version Android GravityRAT -vakoiluohjelmasta, joka varastaa WhatsApp-varmuuskopiotiedostoja ja voi vastaanottaa komentoja tiedostojen poistamiseksi
ESET-tutkijat ovat havainneet päivitetyn version Android GravityRAT -vakoiluohjelmista, joita jaetaan viestisovelluksina BingeChat ja Chatico. GravityRAT on etäkäyttötyökalu, jota tiedetään käytettävän koska ainakin 2015 ja sitä käytettiin aiemmin kohdistetuissa hyökkäyksissä Intiaa vastaan. Windows-, Android- ja macOS-versiot ovat saatavilla, kuten aiemmin dokumentoi Cisco Talos, Kasperskyja Cyble. GravityRATin takana oleva näyttelijä on edelleen tuntematon; seuraamme ryhmää sisäisesti nimellä SpaceCobra.
Todennäköisimmin aktiivinen elokuusta 2022 lähtien, BingeChat-kampanja on edelleen käynnissä; Chaticoa käyttävä kampanja ei kuitenkaan ole enää aktiivinen. BingeChat jaetaan ilmaisia viestintäpalveluita mainostavan verkkosivuston kautta. Huomionarvoista äskettäin löydetyssä kampanjassa, GravityRAT voi suodattaa WhatsApp-varmuuskopiot ja vastaanottaa komentoja tiedostojen poistamiseksi. Haitalliset sovellukset tarjoavat myös laillisia keskustelutoimintoja avoimeen lähdekoodiin perustuen OMEMO Instant Messenger -sovellus.
- Löysimme uuden version Android GravityRAT -vakoiluohjelmasta, jota jaetaan laillisen avoimen lähdekoodin OMEMO Instant Messenger Android -sovelluksen troijalaisina versioina.
- Troijalainen BingeChat-sovellus on ladattavissa verkkosivustolta, joka esittelee sen ilmaisena viestintä- ja tiedostojenjakopalveluna.
- Tämä GravityRAT-versio on parannettu kahdella uudella ominaisuudella: tiedostojen poistamiskomentojen vastaanottaminen ja WhatsApp-varmuuskopiotiedostojen suodattaminen.
Kampanjan yleiskatsaus
Saimme tästä kampanjasta hälytyksen MalwareHunterTeam, joka jakoi GravityRAT-näytteen tiivisteen twiitin kautta. APK-tiedoston nimen perusteella haitallinen sovellus on nimetty BingeChatiksi ja väittää tarjoavansa viestitoimintoja. Löysimme verkkosivun bingechat[.]net josta tämä näyte on saatettu ladata (katso kuva 1).
Verkkosivuston tulee tarjota haitallinen sovellus napautettuaan LATAA SOVELLUSTA -painiketta; se vaatii kuitenkin vierailijoiden kirjautumisen sisään. Meillä ei ollut valtuustietoja, ja rekisteröinnit suljettiin (katso kuva 2). On todennäköisintä, että operaattorit avaavat rekisteröinnin vain, kun he odottavat tietyn uhrin käyvän luona, mahdollisesti tietyllä IP-osoitteella, maantieteellisellä sijainnilla, mukautetulla URL-osoitteella tai tietyn ajan sisällä. Siksi uskomme, että mahdolliset uhrit ovat erittäin kohdistettuja.
Vaikka emme voineet ladata BingeChat-sovellusta verkkosivuston kautta, löysimme URL-osoitteen VirusTotalista (https://downloads.bingechat[.]net/uploadA/c1d8bad13c5359c97cab280f7b561389153/BingeChat.zip), joka sisältää haitallisen BingeChat Android -sovelluksen. Tällä sovelluksella on sama hash kuin aiemmin mainitun twiitin sovelluksella, mikä tarkoittaa, että tämä URL-osoite on tämän GravityRAT-näytteen jakelupiste.
Sama verkkotunnus viitataan myös BingeChat-sovelluksen koodissa - toinen vihje siihen bingechat[.]net käytetään jakeluun (katso kuva 3).
Haitallista sovellusta ei ole koskaan julkaistu Google Play -kaupassa. Se on laillisen avoimen lähdekoodin troijalainen versio OMEMO Instant Messenger (IM) Android-sovellus, mutta sen nimi on BingeChat. OMEMO IM on Android Jabber -asiakkaan uusintaversio keskustelut.
Kuten kuvasta 4 näkyy, haitallisen sivuston HTML-koodi sisältää todisteita siitä, että se kopioitiin lailliselta sivustolta. preview.colorlib.com/theme/BingeChat/ heinäkuussa 5th, 2022, käyttämällä automaattista työkalua HTTrack; colorlib.com on laillinen verkkosivusto, joka tarjoaa WordPress-teemoja ladattavaksi, mutta BingeChat-teema ei näytä olevan enää saatavilla siellä. The bingechat[.]net verkkotunnus rekisteröitiin 18. elokuutath, 2022.
Emme tiedä, kuinka mahdolliset uhrit houkuteltiin haitalliselle verkkosivustolle tai muuten löydettiin siitä. Ottaen huomioon, että sovelluksen lataaminen edellyttää tilin omistamista ja uuden tilin rekisteröinti ei ollut meille mahdollista, uskomme, että mahdolliset uhrit kohdistettiin erityisesti. Hyökkäyksen yleiskuvauskaavio on esitetty kuvassa 5.
victimology
ESET-telemetriatiedot eivät ole tallentaneet tämän BingeChat-kampanjan uhreja, mikä viittaa edelleen siihen, että kampanja on todennäköisesti kohdistettu kapeasti. Telemetriallamme on kuitenkin yksi havainto toisesta Android GravityRAT -näytteestä Intiassa, joka tapahtui kesäkuussa 2022. Tässä tapauksessa GravityRAT oli Chatico (katso kuva 6).
Kuten BingeChat, Chatico perustuu OMEMO Instant Messenger -sovellukseen ja troijalaistettu GravityRATilla. Chatico jaettiin todennäköisesti chatico.co[.]uk verkkosivustolla ja myös C&C-palvelimen kanssa. Sekä verkkosivuston että C&C-palvelimen verkkotunnukset ovat nyt offline-tilassa.
Tästä eteenpäin keskitymme vain aktiiviseen kampanjaan, jossa käytetään BingeChat-sovellusta, jossa on samat haitalliset toiminnot kuin Chaticossa.
Nimeä
Haittaohjelman takana oleva ryhmä on edelleen tuntematon, vaikka Facebook-tutkijat ominaisuus GravityRAT Pakistanissa toimivalle konsernille, kuten aiemminkin spekuloi Kirjailija: Cisco Talos Seuraamme ryhmää sisäisesti nimellä SpaceCobra ja liitämme sekä BingeChat- että Chatico-kampanjat tähän ryhmään.
GravityRAT:n tyypillinen haittatoiminto liittyy tiettyyn koodinpätkään, jonka vuonna 2020 syynä oli Kaspersky ryhmälle, joka käyttää GravityRAT:n Windows-versioita
Vuonna 2021, Cyble julkaisi analyysin toisesta GravityRAT-kampanjasta, joka osoitti samoja kuvioita kuin BingeChat, kuten samanlainen jakeluvektori troijalaiselle, joka naamioitui lailliseksi chat-sovellukseksi, joka tässä tapauksessa oli SoSafe Chat, avoimen lähdekoodin käyttö OMEMO IM koodia ja samat haitalliset toiminnot. Kuvassa 6 näet haitallisten luokkien vertailun Cyblen analysoiman GravityRAT-näytteen ja BingeChatissa olevan uuden näytteen välillä. Tämän vertailun perusteella voimme todeta suurella varmuudella, että BingeChatissa oleva haitallinen koodi kuuluu GravityRAT-haittaohjelmaperheeseen.
Tekninen analyysi
Käynnistyksen jälkeen sovellus pyytää käyttäjää sallimaan kaikki tarvittavat luvat toimiakseen oikein, kuten kuvassa 8. Lukuun ottamatta lupaa lukea puhelulokeja, muut pyydetyt luvat ovat tyypillisiä mille tahansa viestisovellukselle, joten laitteen käyttäjä ei välttämättä olla huolissaan, kun sovellus pyytää niitä.
Osana sovelluksen laillisia toimintoja se tarjoaa vaihtoehtoja tilin luomiseen ja sisäänkirjautumiseen. Ennen kuin käyttäjä kirjautuu sovellukseen, GravityRAT alkaa olla vuorovaikutuksessa C&C-palvelimensa kanssa, suodattaa laitteen käyttäjän tiedot ja odottaa komentojen suorittamista. GravityRAT pystyy suodattamaan:
- puhelujen lokit
- yhteystietoluettelo
- Tekstiviestit
- tiedostot tietyillä tunnisteilla: jpg, jpeg, loki, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32
- laitteen sijainti
- laitteen perustiedot
Suodatettavat tiedot tallennetaan tekstitiedostoihin ulkoiselle tietovälineelle, sitten suodatetaan C&C-palvelimelle ja lopulta poistetaan. Vaiheittaisten tietojen tiedostopolut on lueteltu kuvassa 9.
Tässä GravityRAT-versiossa on kaksi pientä päivitystä verrattuna aiempiin, julkisesti tunnettuihin GravityRAT-versioihin. Ensinnäkin se laajentaa poistettavien tiedostojen luetteloa niihin, joilla on crypt14, crypt12, crypt13, crypt18ja crypt32 laajennuksia. Nämä kryptatut tiedostot ovat WhatsApp Messengerin luomia salattuja varmuuskopioita. Toiseksi se voi vastaanottaa kolme komentoa C&C-palvelimelta suoritettavaksi:
- Poista kaikki tiedostot – poistaa laitteesta poistetut tiedostot, joilla on tietty pääte
- Poista kaikki yhteystiedot – poistaa yhteystietoluettelon
- PoistaAllCallLogs – poistaa puhelulokit
Nämä ovat erittäin tarkkoja komentoja, joita ei tavallisesti näe Android-haittaohjelmissa. Android GravityRAT:n aiemmat versiot eivät voineet vastaanottaa komentoja ollenkaan; he voivat ladata vain suodatettuja tietoja C&C-palvelimelle tiettynä aikana.
GravityRAT sisältää kaksi kovakoodattua C&C-alialuetta, jotka on esitetty kuvassa 10; se on kuitenkin koodattu käyttämään vain ensimmäistä (https://dev.androidadbserver[.]com).
Tähän C&C-palvelimeen otetaan yhteyttä uuden vaarantuneen laitteen rekisteröimiseksi ja kahden muun C&C-osoitteen hakemiseksi: https://cld.androidadbserver[.]com ja https://ping.androidadbserver[.]com kun testasimme sitä, kuten kuvassa 11 näkyy.
Jälleen käytetään vain ensimmäistä C&C-palvelinta, tällä kertaa laitteen käyttäjän tietojen lataamiseen, kuten kuvasta 12 näkyy.
Yhteenveto
Tiedetään olleen aktiivinen koska ainakin 2015SpaceCobra on elvyttänyt GravityRATin sisältämään laajennetut toiminnot WhatsApp Messengerin varmuuskopioiden suodattamiseksi ja tiedostojen poistamista koskevien komentojen vastaanottamiseksi C&C-palvelimelta. Aivan kuten ennenkin, tämä kampanja käyttää viestintäsovelluksia kansina GravityRAT-takaoven levittämiseen. Haittaohjelman takana oleva ryhmä käyttää laillista OMEMO IM -koodia tarjotakseen chat-toiminnot haitallisille viestisovelluksille BingeChat ja Chatico.
ESET-telemetrian mukaan RAT:n päivitetty Chatico-versio kohdistui intialaiseen käyttäjään, joka on samanlainen kuin aiemmin dokumentoidut SpaceCobra-kampanjat. BingeChat-versiota jaetaan rekisteröintiä vaativan verkkosivuston kautta, joka todennäköisesti avautuu vain, kun hyökkääjät odottavat tiettyjen uhrien vierailevan, mahdollisesti tietyllä IP-osoitteella, maantieteellisellä sijainnilla, mukautetulla URL-osoitteella tai tietyn ajan kuluessa. Joka tapauksessa uskomme, että kampanja on hyvin kohdennettu.
IoC: t
Asiakirjat
SHA-1 | Paketin nimi | ESET-tunnistusnimi | Kuvaus |
---|---|---|---|
2B448233E6C9C4594E385E799CEA9EE8C06923BD | eu.siacs.bincechat | Android/Spy.Gravity.A | GravityRAT esiintyy BingeChat-sovelluksena. |
25715A41250D4B9933E3599881CE020DE7FA6DC3 | eu.siacs.bincechat | Android/Spy.Gravity.A | GravityRAT esiintyy BingeChat-sovelluksena. |
1E03CD512CD75DE896E034289CB2F5A529E4D344 | eu.siacs.chatico | Android/Spy.Gravity.A | GravityRAT esiintyy Chatico-sovelluksena. |
verkko
IP | Domain | Palveluntarjoaja | Ensimmäinen nähty | Lisätiedot |
---|---|---|---|---|
75.2.37[.]224 | jre.jdklibraries[.]com | Amazon.com, Inc. | 2022-11-16 | Chatico C&C -palvelin. |
104.21.12[.]211 | cld.androidadbserver[.]com adb.androidadbserver[.]com |
Cloudflare, Inc. | 2023-03-16 | BingeChat C&C -palvelimet. |
104.21.24[.]109 | dev.jdklibraries[.]com | Cloudflare, Inc. | N / A | Chatico C&C -palvelin. |
104.21.41[.]147 | chatico.co[.]uk | Cloudflare, Inc. | 2021-11-19 | Chaticon jakelusivusto. |
172.67.196[.]90 | dev.androidadbserver[.]com ping.androidadbserver[.]com |
Cloudflare, Inc. | 2022-11-16 | BingeChat C&C -palvelimet. |
172.67.203[.]168 | bingechat[.]net | Cloudflare, Inc. | 2022-08-18 | BingeChat-jakelusivusto. |
Polut
Tiedot on lavastettu suodatusta varten seuraaviin paikkoihin:
/storage/emulated/0/Android/ebc/oww.log
/storage/emulated/0/Android/ebc/obb.log
/storage/emulated/0/bc/ms.log
/storage/emulated/0/bc/cl.log
/storage/emulated/0/bc/cdcl.log
/storage/emulated/0/bc/cdms.log
/storage/emulated/0/bc/cs.log
/storage/emulated/0/bc/location.log
MITER ATT & CK -tekniikat
Tämä pöytä on rakennettu käyttämällä version 13 MITRE ATT&CK -kehyksestä.
Taktiikka | ID | Nimi | Kuvaus |
---|---|---|---|
Sitkeys | T1398 | Käynnistyksen tai kirjautumisen alustuskomentosarjat | GravityRAT vastaanottaa BOOT_COMPLETED lähetys on tarkoitus aktivoida laitteen käynnistyksen yhteydessä. |
T1624.001 | Tapahtuman käynnistämä suoritus: Lähetysvastaanottimet | GravityRAT-toiminto käynnistyy, jos jokin seuraavista tapahtumista tapahtuu: USB_DEVICE_ACTACHED, ACTION_CONNECTION_STATE_CHANGED, USER_UNLOCKED, ACTION_POWER_CONNECTED, ACTION_POWER_DISCONNECTED, LENTOKONETILA, AKKU VÄHISSÄ, BATTERY_OKAY, DATE_CHANGED, KÄYNNISTÄ UUDELLEEN, TIME_TICK tai CONNECTIVITY_CHANGE. |
|
Puolustuksen kiertäminen | T1630.002 | Ilmaisimen poisto isännässä: Tiedoston poistaminen | GravityRAT poistaa paikalliset tiedostot, jotka sisältävät laitteesta suodatettuja arkaluontoisia tietoja. |
Löytö | T1420 | Tiedostojen ja hakemistojen etsintä | GravityRAT listaa käytettävissä olevat tiedostot ulkoisessa tallennustilassa. |
T1422 | Järjestelmän verkkoasetusten etsiminen | GravityRAT poimii IMEI-, IMSI-, IP-osoitteen, puhelinnumeron ja maan. | |
T1426 | Järjestelmätietojen etsiminen | GravityRAT poimii tietoja laitteesta, mukaan lukien SIM-kortin sarjanumero, laitetunnus ja yleiset järjestelmätiedot. | |
Kokoelma | T1533 | Paikallisen järjestelmän tiedot | GravityRAT suodattaa tiedostot laitteesta. |
T1430 | Sijainninseuranta | GravityRAT seuraa laitteen sijaintia. | |
T1636.002 | Suojatut käyttäjätiedot: Puhelulokit | GravityRAT poimii puhelulokit. | |
T1636.003 | Suojatut käyttäjätiedot: Yhteystietolista | GravityRAT poimii yhteystietoluettelon. | |
T1636.004 | Suojatut käyttäjätiedot: SMS-viestit | GravityRAT poimii tekstiviestejä. | |
Command and Control | T1437.001 | Sovelluskerrosprotokolla: Web -protokollat | GravityRAT käyttää HTTPS:ää viestiäkseen C&C-palvelimensa kanssa. |
exfiltration | T1646 | Suodatus C2 -kanavan yli | GravityRAT suodattaa tiedot HTTPS:n avulla. |
Vaikutus | T1641 | Tietojen manipulointi | GravityRAT poistaa laitteesta tiedostot tietyillä laajennuksilla ja poistaa kaikki käyttäjien puhelulokit ja yhteystietoluettelon. |
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- EVM Finance. Hajautetun rahoituksen yhtenäinen käyttöliittymä. Pääsy tästä.
- Quantum Media Group. IR/PR vahvistettu. Pääsy tästä.
- PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups/
- :on
- :On
- :ei
- 1
- 10
- 11
- 12
- 16
- 2020
- 2021
- 2022
- 32
- 500
- 67
- 7
- 8
- 9
- a
- pystyy
- Meistä
- pääsy
- Tili
- aktiivinen
- toiminta
- lisä-
- osoite
- osoitteet
- mainonta
- Jälkeen
- vastaan
- huolissaan
- Kaikki
- sallia
- Myös
- an
- analyysi
- analysoidaan
- ja
- android
- Toinen
- Kaikki
- sovelluksen
- Hakemus
- sovellukset
- OVAT
- AS
- liittyvä
- At
- hyökkäys
- Hyökkäykset
- Elokuu
- Automatisoitu
- saatavissa
- takaoven
- Varmuuskopiointi
- varmuuskopiot
- perustua
- BE
- ollut
- ennen
- takana
- ovat
- Uskoa
- kuuluu
- välillä
- sekä
- merkkituotteiden
- lähettää
- rakennettu
- mutta
- nappia
- by
- soittaa
- Kampanja
- Kampanjat
- CAN
- kyvyt
- kykenee
- tapaus
- Cisco
- vaatimukset
- luokka
- luokat
- asiakas
- suljettu
- koodi
- koodattu
- KOM
- Yhteinen
- tiedottaa
- Viestintä
- verrattuna
- vertailu
- Vaarantunut
- luottamus
- Konfigurointi
- ottaen huomioon
- ottaa yhteyttä
- sisältää
- sisälsi
- sisältää
- voisi
- maa
- kattaa
- luoda
- luotu
- Valtakirja
- krypta
- Tällä hetkellä
- asiakassuhde
- tiedot
- Detection
- laite
- löysi
- jakaa
- jaettu
- jakelu
- do
- ei
- verkkotunnuksen
- Domain Name
- verkkotunnuksia
- download
- työllistää
- salattu
- tehostettu
- Jopa
- Tapahtumat
- näyttö
- Paitsi
- suorittaa
- teloitus
- suodatus
- laajeni
- odottaa
- ulottuu
- laajentaminen
- laajennukset
- ulkoinen
- otteet
- FB
- Kuva
- filee
- Asiakirjat
- Vihdoin
- Löytää
- Etunimi
- Keskittää
- jälkeen
- varten
- löytyi
- Ilmainen
- alkaen
- toiminnallisuudet
- toiminnallisuus
- edelleen
- syntyy
- Goes
- Google Play
- Google Play Store
- painovoima
- Ryhmä
- hasis
- Olla
- ottaa
- tätä
- Korkea
- erittäin
- isäntä
- Miten
- Kuitenkin
- HTML
- HTTPS
- ID
- tunnistettu
- if
- in
- sisältää
- sisältää
- Mukaan lukien
- Intia
- tiedot
- ensimmäinen
- välitön
- tahallisuus
- olla vuorovaikutuksessa
- sisäisesti
- tulee
- IP
- IP-osoite
- IT
- SEN
- jpg
- heinäkuu
- kesäkuu
- vain
- Tietää
- tunnettu
- käynnistää
- kerros
- vähiten
- vasemmalle
- Legit
- laillinen
- Todennäköisesti
- Lista
- lueteltu
- Listat
- paikallinen
- sijainti
- log
- Kirjaudu sisään
- kauemmin
- MacOS
- tehty
- haittaohjelmat
- max-width
- välineet
- Media
- mainitsi
- viestien
- Viestit
- Messenger
- ehkä
- eniten
- nimi
- nimet
- välttämätön
- verkko
- ei ikinä
- Uusi
- hiljattain
- Nro
- merkittävä
- nyt
- numero
- tapahtui
- of
- offline
- on
- ONE
- jatkuva
- vain
- avata
- avoimen lähdekoodin
- operaattorit
- Vaihtoehdot
- or
- Muut
- muuten
- meidän
- ulos
- yli
- yleiskatsaus
- Pakistan
- osa
- erityinen
- kuviot
- lupa
- Oikeudet
- puhelin
- kappale
- paikat
- Platon
- Platonin tietotieto
- PlatonData
- Pelaa
- Pelaa Store
- Kohta
- pistettä
- mahdollinen
- mahdollisesti
- mahdollinen
- lahjat
- edellinen
- aiemmin
- todennäköisesti
- asianmukaisesti
- protokolla
- toimittaa
- tarjoaa
- julkisesti
- julkaistu
- RAT
- Lue
- vastaanottaa
- vastaanottaa
- vastaanottava
- kirjataan
- ilmoittautua
- kirjattu
- Rekisteröinti
- jäännökset
- kaukosäädin
- etäkäyttö
- poistaminen
- poistettu
- pyynnöt
- Vaatii
- Tutkijat
- oikein
- sama
- järjestelmä
- Näytön
- Toinen
- nähdä
- näyttää
- nähneet
- sensible
- sarja
- servers
- palvelu
- Palvelut
- yhteinen
- jakaminen
- shouldnt
- esitetty
- Signs
- KYLLÄ
- samankaltainen
- koska
- paikka
- pieni
- SMS
- So
- erityinen
- erityisesti
- spyware
- alkaa
- käynnistyksen
- Osavaltio
- varastaa
- Yhä
- Levytila
- verkkokaupasta
- tallennettu
- niin
- järjestelmä
- taulukko
- Talos
- kohdennettu
- testattu
- että
- -
- Niitä
- teema
- sitten
- Siellä.
- siksi
- Nämä
- ne
- tätä
- ne
- vaikka?
- kolmella
- Kautta
- aika
- aikaikkuna
- että
- työkalu
- raita
- laukeaa
- Troijalainen
- piipittää
- kaksi
- tyypillinen
- tyypillisesti
- varten
- tuntematon
- päivitetty
- Päivitykset
- URL
- us
- käyttää
- käytetty
- käyttäjä
- käyttötarkoituksiin
- käyttämällä
- versio
- hyvin
- kautta
- Uhri
- uhrit
- Vierailla
- Vierailijat
- odotus
- oli
- we
- verkko
- Verkkosivu
- olivat
- kun
- joka
- leveä
- tulee
- ikkunat
- with
- sisällä
- WordPress
- wordPress teemoja
- Referenssit
- XML
- Voit
- zephyrnet