Badacze ESET przeanalizowali zaktualizowaną wersję oprogramowania szpiegującego Android GravityRAT, które kradnie pliki kopii zapasowych WhatsApp i może otrzymywać polecenia usunięcia plików
Badacze firmy ESET zidentyfikowali zaktualizowaną wersję oprogramowania szpiegującego Android GravityRAT, które jest dystrybuowane jako komunikatory BingeChat i Chatico. GravityRAT to narzędzie do zdalnego dostępu, o którym wiadomo, że jest używane od co najmniej 2015 i wcześniej używany w atakach ukierunkowanych na Indie. Dostępne są wersje dla systemów Windows, Android i macOS, zgodnie z wcześniejszą dokumentacją Cisco Talos, Kaspersky, Cyble. Aktor stojący za GravityRAT pozostaje nieznany; śledzimy grupę wewnętrznie jako SpaceCobra.
Najprawdopodobniej aktywna od sierpnia 2022 r., kampania BingeChat wciąż trwa; jednak kampania wykorzystująca Chatico nie jest już aktywna. BingeChat jest dystrybuowany za pośrednictwem strony internetowej reklamującej bezpłatne usługi przesyłania wiadomości. Godny uwagi w nowo odkrytej kampanii GravityRAT może eksfiltrować kopie zapasowe WhatsApp i otrzymywać polecenia usunięcia plików. Złośliwe aplikacje zapewniają również legalną funkcję czatu opartą na oprogramowaniu typu open source Aplikacja OMEMO Instant Messenger.
- Odkryliśmy, że nowa wersja oprogramowania szpiegującego Android GravityRAT jest dystrybuowana jako zmodyfikowana wersja legalnej aplikacji Open Source OMEMO Instant Messenger na Androida.
- Trojanizowana aplikacja BingeChat jest dostępna do pobrania ze strony internetowej, która przedstawia ją jako bezpłatną usługę przesyłania wiadomości i udostępniania plików.
- Ta wersja GravityRAT została wzbogacona o dwie nowe możliwości: odbieranie poleceń usuwania plików i eksfiltrację plików kopii zapasowych WhatsApp.
Przegląd kampanii
Zostaliśmy powiadomieni o tej kampanii przez MalwareHunterTeam, który udostępnił hash dla próbki GravityRAT za pośrednictwem tweeta. Na podstawie nazwy pliku APK złośliwa aplikacja jest oznaczona jako BingeChat i twierdzi, że zapewnia funkcję przesyłania wiadomości. Znaleźliśmy stronę internetową bingechat[.]net z którego ta próbka mogła zostać pobrana (patrz rysunek 1).
Witryna powinna udostępnić złośliwą aplikację po naciśnięciu przycisku POBIERZ APLIKACJĘ; wymaga jednak od odwiedzających zalogowania się. Nie mieliśmy poświadczeń, a rejestracje zostały zamknięte (patrz rysunek 2). Najprawdopodobniej operatorzy otwierają rejestrację tylko wtedy, gdy spodziewają się, że odwiedzi ją konkretna ofiara, być może z określonym adresem IP, geolokalizacją, niestandardowym adresem URL lub w określonym przedziale czasowym. Dlatego uważamy, że potencjalne ofiary są wysoce ukierunkowane.
Chociaż nie mogliśmy pobrać aplikacji BingeChat przez stronę internetową, udało nam się znaleźć adres URL w VirusTotal (https://downloads.bingechat[.]net/uploadA/c1d8bad13c5359c97cab280f7b561389153/BingeChat.zip), który zawiera złośliwą aplikację BingeChat na Androida. Ta aplikacja ma ten sam skrót, co aplikacja we wspomnianym wcześniej tweecie, co oznacza, że ten adres URL jest punktem dystrybucji tej konkretnej próbki GravityRAT.
Ta sama nazwa domeny jest również wymieniona w kodzie aplikacji BingeChat – kolejna wskazówka bingechat[.]net jest używany do dystrybucji (patrz rysunek 3).
Złośliwa aplikacja nigdy nie została udostępniona w sklepie Google Play. Jest to trojanizowana wersja legalnego oprogramowania typu open source Komunikator internetowy OMEMO (IM) aplikacja na Androida, ale jest oznaczona jako BingeChat. OMEMO IM to przebudowa klienta Android Jabber Rozmowy.
Jak widać na rysunku 4, kod HTML złośliwej witryny zawiera dowody na to, że została ona skopiowana z legalnej witryny Preview.colorlib.com/theme/BingeChat/ w lipcu 5th, 2022, za pomocą zautomatyzowanego narzędzia HTTrack; colorlib.com to legalna strona internetowa, która udostępnia motywy WordPress do pobrania, ale wydaje się, że motyw BingeChat nie jest już tam dostępny. The bingechat[.]net Domena została zarejestrowana 18 sierpniath, 2022.
Nie wiemy, w jaki sposób potencjalne ofiary zostały zwabione lub w inny sposób odkryte przez złośliwą stronę internetową. Biorąc pod uwagę, że pobranie aplikacji jest uzależnione od posiadania konta, a rejestracja nowego konta nie była dla nas możliwa, uważamy, że potencjalne ofiary były specjalnie ukierunkowane. Schemat ataku przedstawiono na rysunku 5.
Victimology
Dane telemetryczne ESET nie zarejestrowały żadnych ofiar tej kampanii BingeChat, co dodatkowo sugeruje, że kampania jest prawdopodobnie wąsko ukierunkowana. Jednak nasza telemetria wykazała jedno wykrycie innej próbki Androida GravityRAT w Indiach, które miało miejsce w czerwcu 2022 r. W tym przypadku GravityRAT był oznaczony jako Chatico (patrz rysunek 6).
Podobnie jak BingeChat, Chatico opiera się na aplikacji OMEMO Instant Messenger i jest trojanowane za pomocą GravityRAT. Chatico było najprawdopodobniej rozpowszechniane za pośrednictwem chatico.co[.]uk stronie internetowej, a także komunikował się z serwerem C&C. Domeny witryny i serwera C&C są teraz offline.
Od tego momentu skupimy się tylko na aktywnej kampanii wykorzystującej aplikację BingeChat, która ma taką samą szkodliwą funkcjonalność jak Chatico.
przypisanie
Grupa stojąca za tym złośliwym oprogramowaniem pozostaje nieznana, mimo badaczy Facebooka atrybut GravityRAT do grupy z siedzibą w Pakistanie, jak również poprzednio spekulować przez Cisco Talosa. Wewnętrznie śledzimy grupę pod nazwą SpaceCobra i przypisujemy do niej zarówno kampanie BingeChat, jak i Chatico.
Typowa szkodliwa funkcjonalność GravityRAT jest powiązana z określonym fragmentem kodu, który w 2020 roku został przypisany przez Kaspersky do grupy, która używa Windowsowych wariantów GravityRAT
W 2021, Cyble opublikował analizę innej kampanii GravityRAT, która wykazywała te same wzorce, co BingeChat, na przykład podobny wektor dystrybucji dla trojana udającego legalną aplikację do czatowania, którym w tym przypadku był SoSafe Chat, wykorzystanie open-source OMEMO IM kod i tę samą złośliwą funkcjonalność. Na rysunku 6 można zobaczyć porównanie złośliwych klas między próbką GravityRAT analizowaną przez Cyble a nową próbką zawartą w BingeChat. Na podstawie tego porównania możemy z dużą pewnością stwierdzić, że szkodliwy kod w BingeChat należy do rodziny szkodliwego oprogramowania GravityRAT
Analiza techniczna
Po uruchomieniu aplikacja prosi użytkownika o przyznanie wszystkich niezbędnych uprawnień do prawidłowego działania, jak pokazano na rysunku 8. Z wyjątkiem pozwolenia na odczyt dzienników połączeń, inne wymagane uprawnienia są typowe dla każdej aplikacji do przesyłania wiadomości, więc użytkownik urządzenia może nie być zaalarmowanym, gdy aplikacja o to poprosi.
W ramach legalnej funkcjonalności aplikacji zapewnia opcje utworzenia konta i logowania. Zanim użytkownik zaloguje się do aplikacji, GravityRAT rozpoczyna interakcję ze swoim serwerem C&C, eksfiltrując dane użytkownika urządzenia i czekając na wykonanie poleceń. GravityRAT jest zdolny do eksfiltracji:
- Dzienniki połączeń
- Lista kontaktów
- Wiadomości SMS
- pliki z określonymi rozszerzeniami: jpg, jpeg, dziennik, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32
- lokalizacja urządzenia
- podstawowe informacje o urządzeniu
Dane przeznaczone do eksfiltracji są przechowywane w plikach tekstowych na nośnikach zewnętrznych, a następnie eksfiltrowane na serwer C&C i ostatecznie usuwane. Ścieżki plików dla danych etapowych są wymienione na rysunku 9.
Ta wersja GravityRAT ma dwie małe aktualizacje w porównaniu do poprzednich, publicznie znanych wersji GravityRAT. Po pierwsze, rozszerza listę plików do eksfiltracji do tych z rozszerzeniem crypt14, crypt12, crypt13, crypt18, crypt32 rozszerzenia. Te pliki crypt to zaszyfrowane kopie zapasowe utworzone przez WhatsApp Messenger. Po drugie, może otrzymać trzy polecenia z serwera C&C do wykonania:
- Usuń wszystkie pliki – usuwa pliki z określonym rozszerzeniem, eksfiltrowane z urządzenia
- Usuń wszystkie kontakty – usuwa listę kontaktów
- Usuń wszystkie dzienniki połączeń – usuwa dzienniki połączeń
Są to bardzo specyficzne polecenia, które zwykle nie występują w złośliwym oprogramowaniu dla Androida. Poprzednie wersje Androida GravityRAT w ogóle nie mogły odbierać poleceń; mogli przesyłać eksfiltrowane dane na serwer C&C tylko w określonym czasie.
GravityRAT zawiera dwie zakodowane na stałe subdomeny C&C pokazane na rysunku 10; jednak jest zakodowany tak, aby używał tylko pierwszego (https://dev.androidadbserver[.]com).
Ten serwer C&C jest kontaktowany w celu zarejestrowania nowego zaatakowanego urządzenia i pobrania dwóch dodatkowych adresów C&C: https://cld.androidadbserver[.]com i https://ping.androidadbserver[.]com kiedy go testowaliśmy, jak pokazano na rysunku 11.
Ponownie używany jest tylko pierwszy serwer C&C, tym razem do przesyłania danych użytkownika urządzenia, jak pokazano na rysunku 12.
Wnioski
Wiadomo, że był aktywny od co najmniej 2015, SpaceCobra wskrzesił GravityRAT, aby zawierał rozszerzone funkcje do eksfiltracji kopii zapasowych komunikatora WhatsApp i odbierania poleceń z serwera C&C w celu usunięcia plików. Tak jak poprzednio, ta kampania wykorzystuje aplikacje do przesyłania wiadomości jako przykrywkę do dystrybucji backdoora GravityRAT. Grupa stojąca za tym złośliwym oprogramowaniem wykorzystuje legalny kod OMEMO IM, aby zapewnić funkcjonalność czatu złośliwym aplikacjom do przesyłania wiadomości BingeChat i Chatico.
Według telemetrii ESET, użytkownik w Indiach był celem zaktualizowanej wersji RAT Chatico, podobnie jak wcześniej udokumentowane kampanie SpaceCobra. Wersja BingeChat jest dystrybuowana za pośrednictwem strony internetowej wymagającej rejestracji, która prawdopodobnie jest otwierana tylko wtedy, gdy osoby atakujące spodziewają się odwiedzin określonych ofiar, prawdopodobnie z określonym adresem IP, geolokalizacją, niestandardowym adresem URL lub w określonym przedziale czasowym. W każdym razie uważamy, że kampania jest wysoce ukierunkowana.
IoC
Akta
SHA-1 | Nazwa pakietu | Nazwa wykrycia ESET | Opis |
---|---|---|---|
2B448233E6C9C4594E385E799CEA9EE8C06923BD | eu.siacs.bingechat | Android/Spy.Gravity.A | GravityRAT podszywa się pod aplikację BingeChat. |
25715A41250D4B9933E3599881CE020DE7FA6DC3 | eu.siacs.bingechat | Android/Spy.Gravity.A | GravityRAT podszywa się pod aplikację BingeChat. |
1E03CD512CD75DE896E034289CB2F5A529E4D344 | eu.siacs.chatico | Android/Spy.Gravity.A | GravityRAT podszywa się pod aplikację Chatico. |
Sieć
IP | Domena | Dostawca usług hostingowych | Pierwszy widziany | Szczegóły |
---|---|---|---|---|
75.2.37[.]224 | jre.jdklibraries[.]com | Amazon.com, Inc. | 2022-11-16 | Serwer C&C Chatico. |
104.21.12[.]211 | cld.androidadbserver[.]com adb.androidadbserver[.]com |
Cloudflare, Inc. | 2023–03–16 | Serwery C&C BingeChat. |
104.21.24[.]109 | dev.jdklibraries[.]com | Cloudflare, Inc. | N / A | Serwer C&C Chatico. |
104.21.41[.]147 | chatico.co[.]uk | Cloudflare, Inc. | 2021-11-19 | Witryna dystrybucyjna Chatico. |
172.67.196[.]90 | dev.androidadbserver[.]com ping.androidadbserver[.]com |
Cloudflare, Inc. | 2022-11-16 | Serwery C&C BingeChat. |
172.67.203[.]168 | bingechat[.]net | Cloudflare, Inc. | 2022–08–18 | Witryna dystrybucji BingeChat. |
Ścieżki
Dane są przygotowane do eksfiltracji w następujących miejscach:
/storage/emulated/0/Android/ebc/oww.log
/storage/emulated/0/Android/ebc/obb.log
/storage/emulated/0/bc/ms.log
/storage/emulated/0/bc/cl.log
/storage/emulated/0/bc/cdcl.log
/storage/emulated/0/bc/cdms.log
/storage/emulated/0/bc/cs.log
/storage/emulated/0/bc/location.log
Techniki SKOŚNE ATT&CK
Ten stół został zbudowany przy użyciu wersja 13 frameworku MITER ATT&CK.
Taktyka | ID | Imię | Opis |
---|---|---|---|
Uporczywość | T1398 | Skrypty inicjujące rozruch lub logowanie | GravityRAT odbiera BOOT_UKOŃCZONO zamiar rozgłaszania do aktywacji podczas uruchamiania urządzenia. |
T1624.001 | Wykonanie wyzwalane zdarzeniem: odbiorniki rozgłoszeniowe | Funkcjonalność GravityRAT jest uruchamiana, jeśli wystąpi jedno z następujących zdarzeń: USB_DEVICE_ATTACHED, ACTION_CONNECTION_STATE_CHANGED, USER_ODBLOKOWANY, ACTION_POWER_CONNECTED, ACTION_POWER_ODŁĄCZONY, TRYB SAMOLOTOWY, NISKI POZIOM BATERII, BATTERY_OK, DATE_CHANGED, PONOWNE URUCHOMIENIE, TIME_TICK lub ZMIANA ŁĄCZNOŚCI. |
|
Unikanie obrony | T1630.002 | Usuwanie wskaźnika na hoście: usuwanie pliku | GravityRAT usuwa lokalne pliki, które zawierają poufne informacje wydobyte z urządzenia. |
odkrycie | T1420 | Wykrywanie plików i katalogów | GravityRAT wyświetla listę dostępnych plików w pamięci zewnętrznej. |
T1422 | Wykrywanie konfiguracji sieci systemu | GravityRAT wyodrębnia IMEI, IMSI, adres IP, numer telefonu i kraj. | |
T1426 | Wykrywanie informacji o systemie | GravityRAT wydobywa informacje o urządzeniu, w tym numer seryjny karty SIM, identyfikator urządzenia i wspólne informacje systemowe. | |
Collection | T1533 | Dane z systemu lokalnego | GravityRAT usuwa pliki z urządzenia. |
T1430 | Śledzenie lokalizacji | GravityRAT śledzi lokalizację urządzenia. | |
T1636.002 | Chronione dane użytkownika: dzienniki połączeń | GravityRAT wyodrębnia dzienniki połączeń. | |
T1636.003 | Chronione dane użytkownika: lista kontaktów | GravityRAT wyodrębnia listę kontaktów. | |
T1636.004 | Chronione dane użytkownika: wiadomości SMS | GravityRAT wyodrębnia wiadomości SMS. | |
Dowodzenia i kontroli | T1437.001 | Protokół warstwy aplikacji: protokoły internetowe | GravityRAT używa HTTPS do komunikacji ze swoim serwerem C&C. |
Exfiltracja | T1646 | Eksfiltracja przez kanał C2 | GravityRAT eksfiltruje dane za pomocą HTTPS. |
Rezultat | T1641 | Manipulacja danymi | GravityRAT usuwa pliki z określonymi rozszerzeniami z urządzenia oraz usuwa wszystkie dzienniki połączeń użytkowników i listę kontaktów. |
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- EVM Finanse. Ujednolicony interfejs dla zdecentralizowanych finansów. Dostęp tutaj.
- Quantum Media Group. Wzmocnienie IR/PR. Dostęp tutaj.
- PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
- Źródło: https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups/
- :ma
- :Jest
- :nie
- 1
- 10
- 11
- 12
- 16
- 2020
- 2021
- 2022
- 32
- 500
- 67
- 7
- 8
- 9
- a
- Zdolny
- O nas
- dostęp
- Konto
- aktywny
- działalność
- Dodatkowy
- adres
- Adresy
- Reklama
- Po
- przed
- zaniepokojony
- Wszystkie kategorie
- dopuszczać
- również
- an
- analiza
- analizowane
- i
- android
- Inne
- każdy
- Aplikacja
- Zastosowanie
- mobilne i webowe
- SĄ
- AS
- powiązany
- At
- atakować
- Ataki
- Sierpnia
- zautomatyzowane
- dostępny
- tylne drzwi
- backup
- Kopie zapasowe
- na podstawie
- BE
- być
- zanim
- za
- jest
- uwierzyć
- należy
- pomiędzy
- obie
- markowe
- nadawanie
- wybudowany
- ale
- przycisk
- by
- wezwanie
- Kampania
- Kampanie
- CAN
- możliwości
- zdolny
- walizka
- Cisco
- roszczenia
- klasa
- Klasy
- klient
- zamknięte
- kod
- kodowane
- COM
- wspólny
- komunikować
- Komunikacja
- w porównaniu
- porównanie
- Zagrożone
- pewność siebie
- systemu
- wobec
- skontaktuj się
- zawierać
- zawarte
- zawiera
- mógłby
- kraj
- pokrywa
- Stwórz
- stworzony
- Listy uwierzytelniające
- krypta
- Obecnie
- zwyczaj
- dane
- Wykrywanie
- urządzenie
- odkryty
- rozprowadzać
- dystrybuowane
- 分配
- do
- Nie
- domena
- Nazwa domeny
- domeny
- pobieranie
- zatrudnia
- szyfrowane
- wzmocnione
- Parzyste
- wydarzenia
- dowód
- Z wyjątkiem
- wykonać
- egzekucja
- eksfiltracja
- rozszerzony
- oczekiwać
- rozciąga się
- rozbudowa
- rozszerzenia
- zewnętrzny
- Wyciągi
- FB
- Postać
- filet
- Akta
- W końcu
- Znajdź
- i terminów, a
- Skupiać
- następujący
- W razie zamówieenia projektu
- znaleziono
- Darmowy
- od
- funkcjonalności
- Funkcjonalność
- dalej
- wygenerowane
- Goes
- Google play
- Sklep Google play
- powaga
- Zarządzanie
- haszysz
- Have
- mający
- tutaj
- Wysoki
- wysoko
- gospodarz
- W jaki sposób
- Jednak
- HTML
- HTTPS
- ID
- zidentyfikowane
- if
- in
- zawierać
- obejmuje
- Włącznie z
- Indie
- Informacja
- początkowy
- natychmiastowy
- zamiar
- interakcji
- wewnętrznie
- najnowszych
- IP
- Adres IP
- IT
- JEGO
- jpg
- lipiec
- czerwiec
- właśnie
- Wiedzieć
- znany
- uruchomić
- warstwa
- najmniej
- lewo
- Legit
- prawowity
- Prawdopodobnie
- Lista
- Katalogowany
- wykazy
- miejscowy
- lokalizacja
- log
- Zaloguj Się
- dłużej
- MacOS
- zrobiony
- malware
- Maksymalna szerokość
- znaczy
- Media
- wzmiankowany
- wiadomości
- wiadomości
- Messenger
- może
- większość
- Nazwa
- Nazwy
- niezbędny
- sieć
- nigdy
- Nowości
- nowo
- Nie
- dostojnik
- już dziś
- numer
- miejsce
- of
- nieaktywny
- on
- ONE
- trwający
- tylko
- koncepcja
- open source
- operatorzy
- Opcje
- or
- Inne
- Inaczej
- ludzkiej,
- na zewnątrz
- koniec
- przegląd
- Pakistan
- część
- szczególny
- wzory
- pozwolenie
- uprawnienia
- telefon
- kawałek
- Miejsca
- plato
- Analiza danych Platona
- PlatoDane
- Grać
- Play Store
- punkt
- zwrotnica
- możliwy
- możliwie
- potencjał
- prezenty
- poprzedni
- poprzednio
- prawdopodobnie
- prawidłowo
- protokół
- zapewniać
- zapewnia
- publicznie
- opublikowany
- SZCZUR
- Czytaj
- otrzymać
- otrzymuje
- odbieranie
- nagrany
- zarejestrować
- zarejestrowany
- Rejestracja
- szczątki
- zdalny
- zdalny dostęp
- usuwanie
- Usunięto
- wywołań
- Wymaga
- Badacze
- prawo
- taki sam
- schemat
- Ekran
- druga
- widzieć
- wydaje
- widziany
- wrażliwy
- seryjny
- Serwery
- usługa
- Usługi
- shared
- dzielenie
- powinien
- pokazane
- znaki
- TAK
- podobny
- ponieważ
- witryna internetowa
- mały
- SMS
- So
- specyficzny
- swoiście
- spyware
- rozpocznie
- startup
- Stan
- kradnie
- Nadal
- przechowywanie
- sklep
- przechowywany
- taki
- system
- stół
- talos
- ukierunkowane
- przetestowany
- że
- Połączenia
- Im
- motyw
- następnie
- Tam.
- w związku z tym
- Te
- one
- to
- tych
- chociaż?
- trzy
- Przez
- czas
- ramy czasowe
- do
- narzędzie
- śledzić
- rozsierdzony
- trojański
- ćwierkać
- drugiej
- typowy
- zazwyczaj
- dla
- nieznany
- zaktualizowane
- Nowości
- URL
- us
- posługiwać się
- używany
- Użytkownik
- zastosowania
- za pomocą
- wersja
- początku.
- przez
- Ofiara
- Ofiary
- Odwiedzić
- odwiedzający
- Czekanie
- była
- we
- sieć
- Strona internetowa
- były
- jeśli chodzi o komunikację i motywację
- który
- szeroki
- będzie
- okna
- w
- w ciągu
- WordPress
- WordPress
- Praca
- XML
- You
- zefirnet