I ricercatori ESET hanno analizzato una versione aggiornata dello spyware Android GravityRAT che ruba i file di backup di WhatsApp e può ricevere comandi per eliminare i file
I ricercatori ESET hanno identificato una versione aggiornata dello spyware Android GravityRAT distribuito come le app di messaggistica BingeChat e Chatico. GravityRAT è uno strumento di accesso remoto noto per essere utilizzato almeno da 2015 e precedentemente utilizzato in attacchi mirati contro l'India. Sono disponibili versioni per Windows, Android e macOS, come precedentemente documentato da Cisco Talos, Kasperskye Cyble. L'attore dietro GravityRAT rimane sconosciuto; seguiamo il gruppo internamente come SpaceCobra.
Molto probabilmente attiva da agosto 2022, la campagna BingeChat è ancora in corso; tuttavia, la campagna che utilizza Chatico non è più attiva. BingeChat è distribuito tramite un sito Web che pubblicizza servizi di messaggistica gratuiti. Notevole nella campagna appena scoperta, GravityRAT può esfiltrare i backup di WhatsApp e ricevere comandi per eliminare i file. Le app dannose forniscono anche funzionalità di chat legittime basate sull'open source Applicazione di messaggistica istantanea OMEMO.
- Abbiamo scoperto che una nuova versione dello spyware Android GravityRAT viene distribuita come versioni trojanizzate della legittima app open source OMEMO Instant Messenger per Android.
- L'app BingeChat trojanizzata è disponibile per il download da un sito Web che la presenta come un servizio gratuito di messaggistica e condivisione di file.
- Questa versione di GravityRAT è migliorata con due nuove funzionalità: ricevere i comandi per eliminare i file ed esfiltrare i file di backup di WhatsApp.
Panoramica della campagna
Siamo stati avvisati di questa campagna da MalwareHunterTeam, che ha condiviso l'hash per un campione GravityRAT tramite un tweet. In base al nome del file APK, l'app dannosa è contrassegnata come BingeChat e afferma di fornire funzionalità di messaggistica. Abbiamo trovato il sito web bingechat[.]net da cui potrebbe essere stato scaricato questo esempio (vedere la figura 1).
Il sito Web dovrebbe fornire l'app dannosa dopo aver toccato il pulsante SCARICA APP; tuttavia, richiede ai visitatori di accedere. Non avevamo le credenziali e le registrazioni sono state chiuse (vedi Figura 2). È molto probabile che gli operatori aprano la registrazione solo quando si aspettano che una vittima specifica visiti, possibilmente con un particolare indirizzo IP, geolocalizzazione, URL personalizzato o entro un periodo di tempo specifico. Pertanto, riteniamo che le potenziali vittime siano altamente mirate.
Sebbene non siamo riusciti a scaricare l'app BingeChat tramite il sito Web, siamo riusciti a trovare un URL su VirusTotal (https://downloads.bingechat[.]net/uploadA/c1d8bad13c5359c97cab280f7b561389153/BingeChat.zip) che contiene l'app Android dannosa BingeChat. Questa app ha lo stesso hash dell'app nel tweet menzionato in precedenza, il che significa che questo URL è un punto di distribuzione per questo particolare campione GravityRAT.
Lo stesso nome di dominio è anche referenziato all'interno del codice dell'app BingeChat, un altro suggerimento bingechat[.]net viene utilizzato per la distribuzione (vedi Figura 3).
L'app dannosa non è mai stata resa disponibile nel Google Play Store. È una versione trojanizzata del legittimo open-source OMEMO Messenger istantaneo (IM) App per Android, ma è contrassegnata come BingeChat. OMEMO IM è una ricostruzione del client Android Jabber conversazioni.
Come si può vedere nella Figura 4, il codice HTML del sito dannoso include la prova che è stato copiato dal sito legittimo anteprima.colorlib.com/theme/BingeChat/ luglio 5th, 2022, utilizzando lo strumento automatizzato HTTrack; colorlib.com è un sito Web legittimo che fornisce temi WordPress per il download, ma il tema BingeChat sembra non essere più disponibile lì. IL bingechat[.]net dominio è stato registrato il 18 agostoth 2022.
Non sappiamo in che modo le potenziali vittime siano state attirate o scoperte in altro modo sul sito Web dannoso. Considerando che il download dell'app è subordinato al possesso di un account e la registrazione di un nuovo account non è stata possibile per noi, riteniamo che le potenziali vittime siano state prese di mira in modo specifico. Lo schema della panoramica degli attacchi è mostrato nella Figura 5.
Vittimologia
I dati di telemetria ESET non hanno registrato alcuna vittima di questa campagna BingeChat, suggerendo ulteriormente che la campagna è probabilmente mirata in modo ristretto. Tuttavia, la nostra telemetria ha un rilevamento di un altro campione Android GravityRAT in India che si è verificato nel giugno 2022. In questo caso, GravityRAT è stato marchiato come Chatico (vedi Figura 6).
Come BingeChat, Chatico è basato sull'app OMEMO Instant Messenger e trojanizzato con GravityRAT. Chatico è stato molto probabilmente distribuito attraverso il chatico.co[.]uk sito web e anche comunicati con un server C&C. I domini sia per il sito Web che per il server C&C sono ora offline.
D'ora in poi, ci concentreremo solo sulla campagna attiva utilizzando l'app BingeChat, che ha la stessa funzionalità dannosa di Chatico.
Attribuzione
Il gruppo dietro il malware rimane sconosciuto, anche se i ricercatori di Facebook attributo GravityRAT a un gruppo con sede in Pakistan, come anche in precedenza speculato di CiscoTalos. Monitoriamo il gruppo internamente con il nome SpaceCobra e attribuiamo a questo gruppo le campagne BingeChat e Chatico.
La tipica funzionalità dannosa per GravityRAT è associata a uno specifico pezzo di codice che, nel 2020, è stato attribuito da Kaspersky a un gruppo che utilizza varianti Windows di GravityRAT
Nel 2021, Cyble ha pubblicato un'analisi di un'altra campagna GravityRAT che mostrava gli stessi schemi di BingeChat, come un vettore di distribuzione simile per il trojan mascherato da un'app di chat legittima, che in questo caso era SoSafe Chat, l'uso dell'open source OMEMO IM codice e la stessa funzionalità dannosa. Nella Figura 6 è possibile vedere un confronto delle classi dannose tra il campione GravityRAT analizzato da Cyble e il nuovo campione contenuto in BingeChat. Sulla base di questo confronto, possiamo affermare con grande sicurezza che il codice dannoso in BingeChat appartiene alla famiglia di malware GravityRAT
Analisi tecnica
Dopo l'avvio, l'app richiede all'utente di concedere tutte le autorizzazioni necessarie per funzionare correttamente, come mostrato nella Figura 8. Ad eccezione dell'autorizzazione per leggere i registri delle chiamate, le altre autorizzazioni richieste sono tipiche di qualsiasi applicazione di messaggistica, quindi l'utente del dispositivo potrebbe non essere allarmato quando l'app li richiede.
Come parte della funzionalità legittima dell'app, fornisce opzioni per creare un account e accedere. Prima che l'utente acceda all'app, GravityRAT inizia a interagire con il suo server C&C, estraendo i dati dell'utente del dispositivo e attendendo l'esecuzione dei comandi. GravityRAT è in grado di esfiltrare:
- Registro chiamate
- Lista dei contatti
- SMS
- file con estensioni specifiche: jpg, jpeg, registro, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32
- posizione del dispositivo
- informazioni di base sul dispositivo
I dati da esfiltrare vengono archiviati in file di testo su supporti esterni, quindi esfiltrati nel server C&C e infine rimossi. I percorsi dei file per i dati in fase sono elencati nella Figura 9.
Questa versione di GravityRAT ha due piccoli aggiornamenti rispetto alle precedenti versioni pubblicamente note di GravityRAT. In primo luogo, estende l'elenco dei file da esfiltrare a quelli con l'estensione crypt14, crypt12, crypt13, crypt18e crypt32 estensioni. Questi file criptati sono backup crittografati creati da WhatsApp Messenger. In secondo luogo, può ricevere tre comandi da un server C&C da eseguire:
- Elimina tutti i file – cancella i file con una particolare estensione, esfiltrati dal dispositivo
- Elimina tutti i contatti – elimina l'elenco dei contatti
- Elimina tutti i registri delle chiamate – cancella i registri delle chiamate
Si tratta di comandi molto specifici che in genere non vengono visualizzati nel malware Android. Le versioni precedenti di Android GravityRAT non potevano ricevere comandi; potevano solo caricare i dati esfiltrati su un server C&C in un determinato momento.
GravityRAT contiene due sottodomini C&C hardcoded mostrati nella Figura 10; tuttavia, è codificato per utilizzare solo il primo (https://dev.androidadbserver[.]com).
Questo server C&C viene contattato per registrare un nuovo dispositivo compromesso e per recuperare due indirizzi C&C aggiuntivi: https://cld.androidadbserver[.]com ed https://ping.androidadbserver[.]com quando lo abbiamo testato, come mostrato nella Figura 11.
Ancora una volta, viene utilizzato solo il primo server C&C, questa volta per caricare i dati dell'utente del dispositivo, come mostrato nella Figura 12.
Conclusione
Noto per essere stato attivo almeno da 2015, SpaceCobra ha resuscitato GravityRAT per includere funzionalità estese per esfiltrare i backup di WhatsApp Messenger e ricevere comandi da un server C&C per eliminare i file. Proprio come prima, questa campagna utilizza app di messaggistica come copertura per distribuire la backdoor di GravityRAT. Il gruppo dietro il malware utilizza il codice IM OMEMO legittimo per fornire la funzionalità di chat per le app di messaggistica dannose BingeChat e Chatico.
Secondo la telemetria ESET, un utente in India è stato preso di mira dalla versione aggiornata di Chatico del RAT, simile alle campagne SpaceCobra precedentemente documentate. La versione di BingeChat viene distribuita tramite un sito Web che richiede la registrazione, probabilmente aperto solo quando gli aggressori si aspettano che determinate vittime visitino, possibilmente con un particolare indirizzo IP, geolocalizzazione, URL personalizzato o entro un determinato periodo di tempo. In ogni caso, riteniamo che la campagna sia altamente mirata.
IOCS
File
SHA-1 | Nome del pacchetto | Nome di rilevamento ESET | Descrizione |
---|---|---|---|
2B448233E6C9C4594E385E799CEA9EE8C06923BD | eu.siacs.bingechat | Android/Spy.Gravity.A | GravityRAT impersona l'app BingeChat. |
25715A41250D4B9933E3599881CE020DE7FA6DC3 | eu.siacs.bingechat | Android/Spy.Gravity.A | GravityRAT impersona l'app BingeChat. |
1E03CD512CD75DE896E034289CB2F5A529E4D344 | eu.siacs.chatico | Android/Spy.Gravity.A | GravityRAT impersona l'app Chatico. |
Network NetPoulSafe
IP | Dominio | Provider di hosting | Visto per la prima volta | Dettagli |
---|---|---|---|---|
75.2.37[.]224 | jre.jdklibraries[.]com | Amazon.com, Inc. | 2022-11-16 | Server Chatico C&C. |
104.21.12[.]211 | cld.androidadbserver[.]com adb.androidadbserver[.]com |
Cloudflare, Inc. | 2023-03-16 | Server C&C di BingeChat. |
104.21.24[.]109 | dev.jdklibraries[.]com | Cloudflare, Inc. | N/A | Server Chatico C&C. |
104.21.41[.]147 | chatico.co[.]uk | Cloudflare, Inc. | 2021-11-19 | Sito di distribuzione di Chatico. |
172.67.196[.]90 | dev.androidadbserver[.]com ping.androidadbserver[.]com |
Cloudflare, Inc. | 2022-11-16 | Server C&C di BingeChat. |
172.67.203[.]168 | bingechat[.]net | Cloudflare, Inc. | 2022-08-18 | Sito Web di distribuzione di BingeChat. |
Percorsi
I dati vengono messi in scena per l'esfiltrazione nei seguenti luoghi:
/storage/emulated/0/Android/ebc/oww.log
/storage/emulated/0/Android/ebc/obb.log
/storage/emulated/0/bc/ms.log
/storage/emulated/0/bc/cl.log
/storage/emulated/0/bc/cdcl.log
/storage/emulated/0/bc/cdms.log
/storage/emulated/0/bc/cs.log
/storage/emulated/0/bc/location.log
Tecniche MITRE ATT&CK
Questa tabella è stata creata utilizzando Versione 13 del framework MITRE ATT&CK.
tattica | ID | Nome | Descrizione |
---|---|---|---|
Persistenza | T1398 | Script di inizializzazione di avvio o accesso | GravityRAT riceve il file BOOT_COMPLETATO intento di trasmissione da attivare all'avvio del dispositivo. |
T1624.001 | Esecuzione attivata da eventi: ricevitori broadcast | La funzionalità GravityRAT viene attivata se si verifica uno di questi eventi: USB_DEVICE_ATTACHED, ACTION_CONNECTION_STATE_CHANGED, UTENTE_UNLOCKED, ACTION_POWER_CONNECTED, ACTION_POWER_DISCONNECTED, MODALITÀ AEREO, BATTERIA SCARICA, BATTERIA_OK, DATA_CAMBIATO, RIAVVIARE, TIME_TICK, o CONNETTIVITÀ_CAMBIAMENTO. |
|
Evasione della difesa | T1630.002 | Rimozione dell'indicatore sull'host: eliminazione del file | GravityRAT rimuove i file locali che contengono informazioni sensibili esfiltrate dal dispositivo. |
Ricerca e Sviluppo | T1420 | Scoperta di file e directory | GravityRAT elenca i file disponibili sulla memoria esterna. |
T1422 | Scoperta della configurazione di rete del sistema | GravityRAT estrae IMEI, IMSI, indirizzo IP, numero di telefono e paese. | |
T1426 | Scoperta delle informazioni di sistema | GravityRAT estrae informazioni sul dispositivo, inclusi il numero di serie della SIM, l'ID del dispositivo e informazioni di sistema comuni. | |
Collezione | T1533 | Dati dal sistema locale | GravityRAT esfiltra i file dal dispositivo. |
T1430 | Monitoraggio della posizione | GravityRAT tiene traccia della posizione del dispositivo. | |
T1636.002 | Dati utente protetti: registri delle chiamate | GravityRAT estrae i registri delle chiamate. | |
T1636.003 | Dati utente protetti: Elenco contatti | GravityRAT estrae l'elenco dei contatti. | |
T1636.004 | Dati utente protetti: messaggi SMS | GravityRAT estrae i messaggi SMS. | |
Comando e controllo | T1437.001 | Protocollo del livello di applicazione: protocolli Web | GravityRAT utilizza HTTPS per comunicare con il suo server C&C. |
exfiltration | T1646 | Esfiltrazione sul canale C2 | GravityRAT esfiltra i dati utilizzando HTTPS. |
Impact | T1641 | Manipolazione di dati | GravityRAT rimuove i file con particolari estensioni dal dispositivo ed elimina tutti i registri delle chiamate degli utenti e l'elenco dei contatti. |
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- EVM Finance. Interfaccia unificata per la finanza decentralizzata. Accedi qui.
- Quantum Media Group. IR/PR amplificato. Accedi qui.
- PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups/
- :ha
- :È
- :non
- 1
- 10
- 11
- 12
- 16
- 2020
- 2021
- 2022
- 32
- 500
- 67
- 7
- 8
- 9
- a
- capace
- Chi siamo
- accesso
- Il mio account
- attivo
- attività
- aggiuntivo
- indirizzo
- indirizzi
- Pubblicità
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- allarmato
- Tutti
- consentire
- anche
- an
- .
- analizzato
- ed
- androide
- Un altro
- in qualsiasi
- App
- Applicazioni
- applicazioni
- SONO
- AS
- associato
- At
- attacco
- attacchi
- AGOSTO
- Automatizzata
- disponibile
- porta posteriore
- di riserva
- backup
- basato
- BE
- stato
- prima
- dietro
- essendo
- CREDIAMO
- appartiene
- fra
- entrambi
- marcato
- BROADCAST
- costruito
- ma
- pulsante
- by
- chiamata
- Campagna
- Responsabile Campagne
- Materiale
- funzionalità
- capace
- Custodie
- Cisco
- classe
- classi
- cliente
- chiuso
- codice
- codificato
- COM
- Uncommon
- comunicare
- Comunicazione
- rispetto
- confronto
- Compromissione
- fiducia
- Configurazione
- considerando
- contatti
- contenere
- contenute
- contiene
- potuto
- nazione
- coprire
- creare
- creato
- Credenziali
- cripta
- Attualmente
- costume
- dati
- rivelazione
- dispositivo
- scoperto
- distribuire
- distribuito
- distribuzione
- do
- non
- dominio
- Domain Name
- domini
- scaricare
- impiega
- crittografato
- migliorata
- Anche
- eventi
- prova
- Tranne
- eseguire
- esecuzione
- esfiltrazione
- ampliato
- attenderti
- si estende
- estensione
- estensioni
- esterno
- estratti
- FB
- figura
- Compila il
- File
- Infine
- Trovare
- Nome
- Focus
- i seguenti
- Nel
- essere trovato
- Gratis
- da
- funzionalità
- funzionalità
- ulteriormente
- generato
- va
- Google Play
- Google Play Store
- gravità
- Gruppo
- hash
- Avere
- avendo
- qui
- Alta
- vivamente
- host
- Come
- Tuttavia
- HTML
- HTTPS
- ID
- identificato
- if
- in
- includere
- inclusi
- Compreso
- India
- informazioni
- inizialmente
- immediato
- intento
- interagire
- internamente
- ai miglioramenti
- IP
- Indirizzo IP
- IT
- SUO
- jpg
- Luglio
- giugno
- ad appena
- Sapere
- conosciuto
- lanciare
- strato
- meno
- a sinistra
- Legittimo
- legittimo
- probabile
- Lista
- elencati
- elenchi
- locale
- località
- ceppo
- accesso
- più a lungo
- macos
- fatto
- il malware
- max-width
- si intende
- Media
- menzionato
- messaggi
- di messaggistica
- Messaggero
- forza
- maggior parte
- Nome
- nomi
- necessaria
- Rete
- mai
- New
- recentemente
- no
- notevole
- adesso
- numero
- si è verificato
- of
- offline
- on
- ONE
- in corso
- esclusivamente
- aprire
- open source
- Operatori
- Opzioni
- or
- Altro
- altrimenti
- nostro
- su
- ancora
- panoramica
- Pakistan
- parte
- particolare
- modelli
- autorizzazione
- permessi
- telefono
- pezzo
- Partner
- Platone
- Platone Data Intelligence
- PlatoneDati
- Giocare
- Play Store
- punto
- punti
- possibile
- forse
- potenziale
- regali
- precedente
- in precedenza
- probabilmente
- propriamente
- protocollo
- fornire
- fornisce
- pubblicamente
- pubblicato
- RAT
- Leggi
- ricevere
- riceve
- ricevente
- registrato
- registro
- registrato
- Iscrizione
- resti
- a distanza
- accesso remoto
- rimozione
- rimosso
- richieste
- richiede
- ricercatori
- destra
- stesso
- schema
- allo
- Secondo
- vedere
- sembra
- visto
- delicata
- serial
- Server
- servizio
- Servizi
- condiviso
- compartecipazione
- dovrebbero
- mostrato
- Segni
- SIM
- simile
- da
- site
- piccole
- sms
- So
- specifico
- in particolare
- spyware
- inizio
- startup
- Regione / Stato
- ruba
- Ancora
- conservazione
- Tornare al suo account
- memorizzati
- tale
- sistema
- tavolo
- Talos
- mirata
- testato
- che
- I
- Li
- tema
- poi
- Là.
- perciò
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- quelli
- anche se?
- tre
- Attraverso
- tempo
- periodo di tempo
- a
- pista
- innescato
- Trojan
- Tweet
- seconda
- tipico
- tipicamente
- per
- Sconosciuto
- aggiornato
- Aggiornamenti
- URL
- us
- uso
- utilizzato
- Utente
- usa
- utilizzando
- versione
- molto
- via
- Vittima
- vittime
- Visita
- visitatori
- In attesa
- Prima
- we
- sito web
- Sito web
- sono stati
- quando
- quale
- largo
- volere
- finestre
- con
- entro
- WordPress
- temi wordpress
- Lavora
- XML
- Tu
- zefiro