ESET 연구원들은 WhatsApp 백업 파일을 훔치고 파일 삭제 명령을 수신할 수 있는 업데이트된 버전의 Android GravityRAT 스파이웨어를 분석했습니다.
ESET 연구원들은 Android GravityRAT 스파이웨어의 업데이트 버전이 메시징 앱인 BingeChat 및 Chatico로 배포되는 것을 확인했습니다. GravityRAT는 사용되는 것으로 알려진 원격 액세스 도구입니다. 2015 이상부터 이전에는 인도에 대한 표적 공격에 사용되었습니다. 이전에 문서화된 대로 Windows, Android 및 macOS 버전을 사용할 수 있습니다. Cisco Talos, 카스퍼 스키및 싸이 블. GravityRAT 배후의 행위자는 아직 알려지지 않았습니다. 내부적으로 SpaceCobra로 그룹을 추적합니다.
BingeChat 캠페인은 2022년 XNUMX월 이후 활성화되었을 가능성이 가장 높으며 여전히 진행 중입니다. 그러나 Chatico를 사용한 캠페인은 더 이상 활성화되지 않습니다. BingeChat은 무료 메시징 서비스를 광고하는 웹사이트를 통해 배포됩니다. 새로 발견된 캠페인에서 주목할만한 GravityRAT는 WhatsApp 백업을 유출하고 파일 삭제 명령을 받을 수 있습니다. 악성 앱은 오픈 소스 기반의 합법적인 채팅 기능도 제공합니다. OMEMO 인스턴트 메신저 앱.
- 합법적인 오픈 소스 OMEMO Instant Messenger Android 앱의 트로이목마 버전으로 배포되는 Android GravityRAT 스파이웨어의 새 버전을 발견했습니다.
- 트로이 목마가 적용된 BingeChat 앱은 무료 메시징 및 파일 공유 서비스로 제공되는 웹 사이트에서 다운로드할 수 있습니다.
- 이 버전의 GravityRAT는 파일 삭제 명령 수신 및 WhatsApp 백업 파일 추출이라는 두 가지 새로운 기능으로 향상되었습니다.
캠페인 개요
이 캠페인에 대한 알림을 받은 사람은 다음과 같습니다. MalwareHunterTeam, 트윗을 통해 GravityRAT 샘플의 해시를 공유했습니다. APK 파일의 이름을 기반으로 악성 앱은 BingeChat으로 브랜드화되었으며 메시징 기능을 제공한다고 주장합니다. 우리는 웹 사이트를 찾았습니다 빙그레챗[.]넷 이 샘플을 다운로드했을 수 있습니다(그림 1 참조).
앱 다운로드 버튼을 탭하면 웹사이트에서 악성 앱을 제공해야 합니다. 그러나 방문자가 로그인해야 합니다. 자격 증명이 없었고 등록이 종료되었습니다(그림 2 참조). 운영자는 특정 피해자가 특정 IP 주소, 지리적 위치, 사용자 정의 URL 또는 특정 시간 내에 방문할 것으로 예상되는 경우에만 등록을 시작할 가능성이 가장 높습니다. 따라서 우리는 잠재적인 피해자가 매우 표적이 된다고 생각합니다.
웹 사이트를 통해 BingeChat 앱을 다운로드할 수는 없었지만 VirusTotal에서 URL을 찾을 수 있었습니다(https://downloads.bingechat[.]net/uploadA/c1d8bad13c5359c97cab280f7b561389153/BingeChat.zip) 악성 BingeChat Android 앱이 포함되어 있습니다. 이 앱은 이전에 언급한 트윗의 앱과 동일한 해시를 가지고 있으며, 이는 이 URL이 이 특정 GravityRAT 샘플의 배포 지점임을 의미합니다.
동일한 도메인 이름이 BingeChat 앱의 코드 내에서도 참조됩니다. 빙그레챗[.]넷 배포에 사용됩니다(그림 3 참조).
악성 앱은 Google Play 스토어에서 제공되지 않습니다. 합법적인 오픈 소스의 트로이 목마 버전입니다. OMEMO 인스턴트 메신저 (IM) Android 앱이지만 BingeChat이라는 브랜드입니다. OMEMO IM은 Android Jabber 클라이언트의 재구축입니다. 대화.
그림 4에서 볼 수 있듯이 악성 사이트의 HTML 코드에는 합법적인 사이트에서 복사되었다는 증거가 포함되어 있습니다. Preview.colorlib.com/theme/BingeChat/ 7 월 5에th, 2022, 자동화 도구 사용 HTTrack; colorlib.com은 다운로드할 WordPress 테마를 제공하는 합법적인 웹사이트이지만 BingeChat 테마는 더 이상 사용할 수 없는 것 같습니다. 그만큼 빙그레챗[.]넷 도메인은 18월 XNUMX일에 등록되었습니다.th, 2022.
잠재적인 피해자가 어떻게 악성 웹사이트로 유인되거나 발견되었는지 알 수 없습니다. 앱 다운로드는 계정 보유를 조건으로 하고, 신규 계정 등록이 불가능하다는 점을 고려하면 잠재적인 피해자가 구체적으로 표적이 된 것으로 판단됩니다. 공격 개요 체계는 그림 5에 나와 있습니다.
피해자학
ESET 텔레메트리 데이터에는 이 BingeChat 캠페인의 피해자가 기록되지 않았으며, 이는 캠페인의 표적이 좁을 가능성이 있음을 시사합니다. 그러나 원격 분석에서는 2022년 6월에 발생한 인도의 또 다른 Android GravityRAT 샘플을 한 번 감지했습니다. 이 경우 GravityRAT는 Chatico라는 브랜드로 지정되었습니다(그림 XNUMX 참조).
BingeChat과 마찬가지로 Chatico는 OMEMO 인스턴트 메신저 앱을 기반으로 하며 GravityRAT로 트로이목마를 사용합니다. Chatico는 다음을 통해 배포되었을 가능성이 큽니다. chatico.co[.]uk 웹 사이트 및 C&C 서버와도 통신합니다. 이제 웹사이트와 C&C 서버의 도메인이 모두 오프라인 상태입니다.
여기서부터는 Chatico와 동일한 악성 기능을 가진 BingeChat 앱을 사용하는 활성 캠페인에만 집중할 것입니다.
속성
맬웨어 배후의 그룹은 아직 알려지지 않았지만 Facebook 연구원 속성 GravityRAT를 이전과 마찬가지로 파키스탄에 기반을 둔 그룹에 추측 된 시스코 탈로스. 우리는 SpaceCobra라는 이름으로 내부적으로 그룹을 추적하고 BingeChat 및 Chatico 캠페인을 모두 이 그룹에 귀속시킵니다.
GravityRAT의 일반적인 악성 기능은 2020년에 카스퍼 스키 GravityRAT의 Windows 변형을 사용하는 그룹
2021년에 싸이 블 BingeChat과 동일한 패턴을 보이는 또 다른 GravityRAT 캠페인에 대한 분석을 게시했습니다. 예를 들어 합법적인 채팅 앱으로 위장한 트로이 목마에 대한 유사한 배포 벡터가 있습니다. 이 경우 SoSafe Chat은 오픈 소스를 사용했습니다. 오메모 임 코드 및 동일한 악성 기능. 그림 6에서는 Cyble이 분석한 GravityRAT 샘플과 BingeChat에 포함된 새로운 샘플 간의 악성 클래스 비교를 볼 수 있습니다. 이 비교를 바탕으로 BingeChat의 악성 코드가 GravityRAT 악성 코드 계열에 속한다고 확신을 가지고 말할 수 있습니다.
기술적 분석
실행 후 앱은 그림 8과 같이 제대로 작동하는 데 필요한 모든 권한을 허용하도록 사용자에게 요청합니다. 통화 기록을 읽을 수 있는 권한을 제외하고 요청된 다른 권한은 모든 메시징 응용 프로그램의 일반적인 권한이므로 장치 사용자는 그렇지 않을 수 있습니다. 앱에서 요청할 때 알람을 받습니다.
앱의 합법적인 기능의 일부로 계정 생성 및 로그인 옵션을 제공합니다. 사용자가 앱에 로그인하기 전에 GravityRAT는 C&C 서버와 상호 작용을 시작하여 장치 사용자의 데이터를 유출하고 명령 실행을 기다립니다. GravityRAT는 다음을 유출할 수 있습니다.
- 통화 기록
- 연락처 목록
- SMS 메시지
- 특정 확장자를 가진 파일: jpg, jpeg, 로그, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32
- 장치 위치
- 기본 장치 정보
유출되는 데이터는 외부 매체에 텍스트 파일로 저장되었다가 C&C 서버로 유출되어 최종적으로 제거됩니다. 준비된 데이터의 파일 경로는 그림 9에 나열되어 있습니다.
이 GravityRAT 버전에는 이전의 공개된 GravityRAT 버전에 비해 두 가지 작은 업데이트가 있습니다. 첫째, 유출할 파일 목록을 다음이 있는 파일로 확장합니다. crypt14, crypt12, crypt13, crypt18및 crypt32 확장. 이 암호 파일은 WhatsApp Messenger에서 만든 암호화된 백업입니다. 둘째, C&C 서버에서 실행할 세 가지 명령을 수신할 수 있습니다.
- 모든 파일 삭제 – 장치에서 유출된 특정 확장자를 가진 파일을 삭제합니다.
- 모든 연락처 삭제 – 연락처 목록 삭제
- 모든 통화 기록 삭제 – 통화 기록 삭제
이들은 일반적으로 Android 맬웨어에서 볼 수 없는 매우 구체적인 명령입니다. 이전 버전의 Android GravityRAT는 명령을 전혀 수신할 수 없었습니다. 특정 시간에만 유출된 데이터를 C&C 서버에 업로드할 수 있었습니다.
GravityRAT에는 그림 10에 표시된 두 개의 하드코딩된 C&C 하위 도메인이 포함되어 있습니다. 그러나 첫 번째 항목만 사용하도록 코딩되어 있습니다(https://dev.androidadbserver[.]com).
이 C&C 서버는 새로운 손상된 장치를 등록하고 두 개의 추가 C&C 주소를 검색하기 위해 연결됩니다. https://cld.androidadbserver[.]com 및 https://ping.androidadbserver[.]com 그림 11과 같이 테스트했을 때.
이번에도 첫 번째 C&C 서버만 사용되며 이번에는 그림 12와 같이 장치 사용자의 데이터를 업로드합니다.
결론
활동한 것으로 알려짐 2015 이상부터, SpaceCobra는 GravityRAT를 소생시켜 WhatsApp Messenger 백업을 빼내고 C&C 서버에서 명령을 받아 파일을 삭제하는 확장된 기능을 포함했습니다. 이전과 마찬가지로 이 캠페인은 메시지 앱을 표지로 사용하여 GravityRAT 백도어를 배포합니다. 맬웨어 배후의 그룹은 합법적인 OMEMO IM 코드를 사용하여 악성 메시징 앱인 BingeChat 및 Chatico에 채팅 기능을 제공합니다.
ESET 원격 측정에 따르면 이전에 문서화된 SpaceCobra 캠페인과 유사하게 업데이트된 Chatico 버전의 RAT는 인도의 한 사용자를 표적으로 삼았습니다. BingeChat 버전은 등록이 필요한 웹사이트를 통해 배포되며, 공격자가 특정 IP 주소, 지리적 위치, 사용자 지정 URL 또는 특정 기간 내에 특정 피해자가 방문할 것으로 예상되는 경우에만 열릴 수 있습니다. 어쨌든 우리는 캠페인이 고도로 표적화되었다고 생각합니다.
IoC
파일
SHA-1 | 패키지 이름 | ESET 탐지 이름 | 상품 설명 |
---|---|---|---|
2B448233E6C9C4594E385E799CEA9EE8C06923BD | eu.siacs.bingechat | 안드로이드/Spy.Gravity.A | BingeChat 앱을 사칭하는 GravityRAT. |
25715A41250D4B9933E3599881CE020DE7FA6DC3 | eu.siacs.bingechat | 안드로이드/Spy.Gravity.A | BingeChat 앱을 사칭하는 GravityRAT. |
1E03CD512CD75DE896E034289CB2F5A529E4D344 | eu.siacs.chatico | 안드로이드/Spy.Gravity.A | Chatico 앱을 사칭하는 GravityRAT. |
네트워크
IP | 도메인 | 호스팅 제공 업체 | 처음 본 | 세부 정보 |
---|---|---|---|---|
75.2.37[.]224 | jre.jdklibraries[.]com | Amazon.com, Inc. | 2022-11-16 | 채티코 C&C 서버. |
104.21.12[.]211 | cld.androidadbserver[.]com adb.androidadbserver[.]com |
Cloudflare, Inc. | 2023-03-16 | BingeChat C&C 서버. |
104.21.24[.]109 | dev.jdklibraries[.]com | Cloudflare, Inc. | 해당 사항 없음 | 채티코 C&C 서버. |
104.21.41[.]147 | chatico.co[.]uk | Cloudflare, Inc. | 2021-11-19 | Chatico 배포 웹 사이트. |
172.67.196[.]90 | dev.androidadbserver[.]com ping.androidadbserver[.]com |
Cloudflare, Inc. | 2022-11-16 | BingeChat C&C 서버. |
172.67.203[.]168 | 빙그레챗[.]넷 | Cloudflare, Inc. | 2022-08-18 | BingeChat 배포 웹사이트. |
경로
데이터는 다음 위치에서 유출을 위해 준비됩니다.
/storage/emulated/0/Android/ebc/oww.log
/스토리지/에뮬레이트/0/Android/ebc/obb.log
/스토리지/에뮬레이트/0/bc/ms.log
/스토리지/에뮬레이트/0/bc/cl.log
/스토리지/에뮬레이트/0/bc/cdcl.log
/스토리지/에뮬레이트/0/bc/cdms.log
/storage/emulated/0/bc/cs.log
/storage/emulated/0/bc/location.log
MITRE ATT&CK 기술
이 테이블은 다음을 사용하여 제작되었습니다. 버전 13 MITRE ATT&CK 프레임워크.
술책 | ID | 성함 | 상품 설명 |
---|---|---|---|
고집 | T1398 | 부팅 또는 로그온 초기화 스크립트 | GravityRAT 수신 부팅_완료됨 장치 시작 시 활성화할 브로드캐스트 인텐트. |
T1624.001 | 이벤트 트리거 실행: 브로드캐스트 수신기 | 다음 이벤트 중 하나가 발생하면 GravityRAT 기능이 트리거됩니다. USB_DEVICE_ATTACHED, ACTION_CONNECTION_STATE_CHANGED, 사용자_잠금 해제됨, ACTION_POWER_CONNECTED, ACTION_POWER_DICONNECTED, 비행기_모드, 배터리 부족, 배터리_OKAY, DATE_CHANGED, 재부팅, TIME_TICK 또는 연결성_변경. |
|
방어 회피 | T1630.002 | 호스트에서 표시기 제거: 파일 삭제 | GravityRAT는 장치에서 유출된 민감한 정보가 포함된 로컬 파일을 제거합니다. |
발견 | T1420 | 파일 및 디렉토리 검색 | GravityRAT는 외부 저장소에서 사용 가능한 파일을 나열합니다. |
T1422 | 시스템 네트워크 구성 검색 | GravityRAT는 IMEI, IMSI, IP 주소, 전화번호 및 국가를 추출합니다. | |
T1426 | 시스템 정보 검색 | GravityRAT는 SIM 일련 번호, 장치 ID 및 공통 시스템 정보를 포함하여 장치에 대한 정보를 추출합니다. | |
수집 | T1533 | 로컬 시스템의 데이터 | GravityRAT는 장치에서 파일을 추출합니다. |
T1430 | 위치 추적 | GravityRAT는 장치 위치를 추적합니다. | |
T1636.002 | 보호된 사용자 데이터: 통화 기록 | GravityRAT는 통화 기록을 추출합니다. | |
T1636.003 | 보호된 사용자 데이터: 연락처 목록 | GravityRAT는 연락처 목록을 추출합니다. | |
T1636.004 | 보호된 사용자 데이터: SMS 메시지 | GravityRAT는 SMS 메시지를 추출합니다. | |
명령 및 제어 | T1437.001 | 애플리케이션 계층 프로토콜: 웹 프로토콜 | GravityRAT는 HTTPS를 사용하여 C&C 서버와 통신합니다. |
여과 | T1646 | C2 채널을 통한 유출 | GravityRAT는 HTTPS를 사용하여 데이터를 유출합니다. |
영향 | T1641 | 데이터 조작 | GravityRAT는 장치에서 특정 확장자를 가진 파일을 제거하고 모든 사용자 통화 기록과 연락처 목록을 삭제합니다. |
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- EVM 금융. 탈중앙화 금융을 위한 통합 인터페이스. 여기에서 액세스하십시오.
- 퀀텀미디어그룹. IR/PR 증폭. 여기에서 액세스하십시오.
- PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups/
- :있다
- :이다
- :아니
- 1
- 10
- 11
- 12
- 16
- 2020
- 2021
- 2022
- 32
- 500
- 67
- 7
- 8
- 9
- a
- 할 수 있는
- 소개
- ACCESS
- 계정
- 활동적인
- 활동
- 추가
- 주소
- 구애
- 광고
- 후
- 반대
- 놀란
- All
- 수
- 또한
- an
- 분석
- 분석
- 및
- 기계적 인조 인간
- 다른
- 어떤
- 앱
- 어플리케이션
- 앱
- 있군요
- AS
- 관련
- At
- 공격
- 공격
- 8월
- 자동화
- 가능
- 뒷문
- 백업
- 백업
- 기반으로
- BE
- 된
- 전에
- 뒤에
- 존재
- 믿으세요
- 속
- 사이에
- 두
- 상표가 붙은
- 방송
- 내장
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- 단추
- by
- 전화
- 운동
- 캠페인
- CAN
- 기능
- 수
- 케이스
- 시스코
- 주장
- 수업
- 수업
- 클라이언트
- 닫은
- 암호
- 코드화 된
- COM
- 공통의
- 소통
- 의사 소통
- 비교
- 비교
- 손상된
- 자신
- 구성
- 치고는
- CONTACT
- 포함하는
- 포함
- 이 포함되어 있습니다
- 수
- 국가
- 엄호
- 만들
- 만든
- 신임장
- 토굴
- 현재
- 관습
- 데이터
- Detection System
- 장치
- 발견
- 배포하다
- 분산
- 분포
- do
- 하지 않습니다
- 도메인
- 도메인 이름
- 도메인
- 다운로드
- 고용하다
- 암호화
- 강화
- 조차
- 이벤트
- 증거
- 외
- 실행
- 실행
- 압출
- 확대하는
- 기대
- 확장하다
- 확장자
- 확장
- 외부
- 추출물
- 페이스북
- FB
- 그림
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 파일
- 최종적으로
- Find
- 먼저,
- 초점
- 수행원
- 럭셔리
- 발견
- 무료
- 에
- 기능성
- 기능
- 추가
- 생성
- 간다
- 구글
- 구글 플레이
- 구글 Play 스토어
- 중량
- 그룹
- 해시
- 있다
- 데
- 여기에서 지금 확인해 보세요.
- 높은
- 고도로
- 주인
- 방법
- 그러나
- HTML
- HTTPS
- ID
- 확인
- if
- in
- 포함
- 포함
- 포함
- 인도
- 정보
- 처음에는
- 즉시
- 의지
- 상호 작용하는
- 내부로
- 으로
- IP
- IP 주소
- IT
- 그
- JPG
- 7월
- 유월
- 다만
- 알아
- 알려진
- 시작
- 층
- 가장 작은
- 왼쪽 (left)
- 합법
- 합법적 인
- 아마도
- 명부
- 상장 된
- 기울기
- 지방의
- 위치
- 기록
- 로그인
- 이상
- 맥 OS
- 만든
- 악성 코드
- 최대 폭
- 방법
- 미디어
- 말하는
- 메시지
- 메시지
- 전령
- 수도
- 가장
- name
- 이름
- 필요한
- 네트워크
- 못
- 신제품
- 새로운
- 아니
- 주목할 만한
- 지금
- 번호
- 발생
- of
- 오프라인
- on
- ONE
- 지속적으로
- 만
- 열 수
- 오픈 소스
- 운영자
- 옵션
- or
- 기타
- 그렇지 않으면
- 우리의
- 아웃
- 위에
- 개요
- 파키스탄
- 부품
- 특별한
- 패턴
- 허가
- 권한
- 전화
- 조각
- 장소
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 연극
- Play 스토어
- 포인트 적립
- 전철기
- 가능한
- 혹시
- 가능성
- 선물
- 너무 이른
- 이전에
- 아마
- 정확히
- 프로토콜
- 제공
- 제공
- 공개적으로
- 출판
- 쥐
- 읽기
- 받다
- 수신
- 전수
- 기록
- 회원가입
- 등록된
- 등록
- 유적
- 먼
- 원격 액세스
- 제거
- 제거됨
- 요청
- 필요
- 연구원
- 연락해주세요
- 같은
- 계획
- 화면
- 둘째
- 참조
- 것
- 본
- 민감한
- 일련의
- 서버
- 서비스
- 서비스
- 공유
- 공유
- 영상을
- 표시
- 안전표시
- YES
- 비슷한
- 이후
- 대지
- 작은
- SMS
- So
- 구체적인
- 구체적으로
- 스파이웨어
- 시작
- 시작
- 주 정부
- 훔치다
- 아직도
- 저장
- 저장
- 저장
- 이러한
- 체계
- 테이블
- 탈로스
- 대상
- 테스트
- 그
- XNUMXD덴탈의
- 그들
- 테마
- 그때
- 그곳에.
- 따라서
- Bowman의
- 그들
- 이
- 그
- 그래도?
- 세
- 을 통하여
- 시간
- 기간
- 에
- 수단
- 선로
- 방아쇠를 당긴
- 트로이의
- 짹짹
- 두
- 전형적인
- 일반적으로
- 아래에
- 알 수없는
- 업데이트
- 업데이트
- URL
- us
- 사용
- 익숙한
- 사용자
- 사용
- 사용
- 버전
- 대단히
- 를 통해
- 희생자
- 피해자
- 방문
- 방문자
- 기다리는
- 였다
- we
- 웹
- 웹 사이트
- 했다
- WhatsApp에
- 언제
- 어느
- 넓은
- 의지
- 창
- 과
- 이내
- 워드프레스(WordPress)
- WordPress의 테마
- 작업
- XML
- 자신의
- 제퍼 넷