ESET-forskare analyserade en uppdaterad version av Android GravityRAT spionprogram som stjäl WhatsApp backup-filer och kan ta emot kommandon för att radera filer
ESET-forskare har identifierat en uppdaterad version av Android GravityRAT-spionprogram som distribueras som meddelandeapparna BingeChat och Chatico. GravityRAT är ett fjärråtkomstverktyg som är känt för att användas sedan minst 2015 och som tidigare använts i riktade attacker mot Indien. Windows-, Android- och macOS-versioner är tillgängliga, som tidigare dokumenterats av Cisco Talos, kasperskyoch Cyble. Skådespelaren bakom GravityRAT är fortfarande okänd; vi spårar gruppen internt som SpaceCobra.
Mest troligt aktiv sedan augusti 2022, BingeChat-kampanjen pågår fortfarande; Kampanjen som använder Chatico är dock inte längre aktiv. BingeChat distribueras via en webbplats som annonserar gratis meddelandetjänster. Noterbart i den nyupptäckta kampanjen kan GravityRAT exfiltrera WhatsApp-säkerhetskopior och ta emot kommandon för att radera filer. De skadliga apparna tillhandahåller också legitim chattfunktion baserat på öppen källkod OMEMO Instant Messenger-appen.
- Vi upptäckte att en ny version av Android GravityRAT-spionprogram distribueras som trojaniserade versioner av den legitima OMEMO Instant Messenger Android-appen med öppen källkod.
- Den trojaniserade BingeChat-appen är tillgänglig för nedladdning från en webbplats som presenterar den som en gratis meddelande- och fildelningstjänst.
- Den här versionen av GravityRAT är förbättrad med två nya funktioner: ta emot kommandon för att radera filer och exfiltrera WhatsApp-backupfiler.
Kampanjöversikt
Vi uppmärksammades på denna kampanj av MalwareHunterTeam, som delade hashen för ett GravityRAT-prov via en tweet. Baserat på namnet på APK-filen är den skadliga appen märkt som BingeChat och hävdar att den tillhandahåller meddelandefunktioner. Vi hittade hemsidan binechat[.]net varifrån detta prov kan ha laddats ner (se figur 1).
Webbplatsen bör tillhandahålla den skadliga appen efter att ha tryckt på knappen LADDA NER APP; Det kräver dock att besökare loggar in. Vi hade inga referenser och registreringar stängdes (se figur 2). Det är mest troligt att operatörerna bara öppnar registreringen när de förväntar sig att ett specifikt offer ska besöka, möjligen med en viss IP-adress, geolokalisering, anpassad URL eller inom en viss tidsram. Därför tror vi att potentiella offer är mycket riktade.
Även om vi inte kunde ladda ner BingeChat-appen via webbplatsen, kunde vi hitta en URL på VirusTotal (https://downloads.bingechat[.]net/uploadA/c1d8bad13c5359c97cab280f7b561389153/BingeChat.zip) som innehåller den skadliga BingeChat Android-appen. Denna app har samma hash som appen i den tidigare nämnda tweeten, vilket betyder att denna URL är en distributionspunkt för just detta GravityRAT-prov.
Samma domännamn hänvisas också till i koden för BingeChat-appen – en annan hint om det binechat[.]net används för distribution (se figur 3).
Den skadliga appen har aldrig gjorts tillgänglig i Google Play Butik. Det är en trojaniserad version av den legitima öppen källkod OMEMO Instant Messenger (IM) Android-app, men är märkt som BingeChat. OMEMO IM är en ombyggnad av Android Jabber-klienten samtal.
Som du kan se i figur 4 innehåller HTML-koden för den skadliga webbplatsen bevis på att den kopierades från den legitima webbplatsen preview.colorlib.com/theme/BingeChat/ på juli 5th, 2022, med det automatiserade verktyget HTTrack; colorlib.com är en legitim webbplats som tillhandahåller WordPress-teman för nedladdning, men BingeChat-temat verkar inte längre vara tillgängligt där. De binechat[.]net domänen registrerades den 18 augustith2022
Vi vet inte hur potentiella offer lockades till, eller på annat sätt upptäcktes, den skadliga webbplatsen. Med tanke på att nedladdning av appen är villkorad av att ha ett konto och att ny kontoregistrering inte var möjlig för oss, tror vi att potentiella offer var specifikt riktade. Attacköversiktsschemat visas i figur 5.
Victimology
ESET-telemetridata har inte registrerat några offer för denna BingeChat-kampanj, vilket ytterligare tyder på att kampanjen förmodligen är snävt inriktad. Vår telemetri har dock en upptäckt av ett annat Android GravityRAT-prov i Indien som inträffade i juni 2022. I det här fallet märktes GravityRAT som Chatico (se figur 6).
Precis som BingeChat är Chatico baserad på OMEMO Instant Messenger-appen och trojaniserad med GravityRAT. Chatico distribuerades troligen genom chatico.co[.]uk webbplats och även kommunicerade med en C&C-server. Domänerna för både webbplatsen och C&C-servern är nu offline.
Från och med nu kommer vi bara att fokusera på den aktiva kampanjen med BingeChat-appen, som har samma skadliga funktionalitet som Chatico.
Erkännande
Gruppen bakom skadlig programvara är fortfarande okänd, även om Facebook-forskare attribut GravityRAT till en grupp baserad i Pakistan, liksom tidigare spekulerade av Cisco Talos. Vi spårar gruppen internt under namnet SpaceCobra och tillskriver både BingeChat- och Chatico-kampanjerna denna grupp.
Typisk skadlig funktionalitet för GravityRAT är associerad med en specifik kod som 2020 tillskrevs av kaspersky till en grupp som använder Windows-varianter av GravityRAT
2021, Cyble publicerade en analys av en annan GravityRAT-kampanj som uppvisade samma mönster som BingeChat, till exempel en liknande distributionsvektor för trojanen som maskerade sig som en legitim chattapp, vilket i det här fallet var SoSafe Chat, användningen av öppen källkod OMEMO IM kod och samma skadliga funktionalitet. I figur 6 kan du se en jämförelse av skadliga klasser mellan GravityRAT-provet som analyserats av Cyble och det nya provet som finns i BingeChat. Baserat på denna jämförelse kan vi med stor tillförsikt konstatera att den skadliga koden i BingeChat tillhör familjen GravityRAT malware
Teknisk analys
Efter start ber appen användaren att tillåta alla nödvändiga behörigheter att fungera korrekt, som visas i figur 8. Förutom behörighet att läsa samtalsloggarna är de andra begärda behörigheterna typiska för alla meddelandeprogram, så enhetens användare kanske inte bli orolig när appen begär dem.
Som en del av appens legitima funktionalitet ger den alternativ för att skapa ett konto och logga in. Innan användaren loggar in i appen börjar GravityRAT interagera med sin C&C-server, exfiltrerar enhetsanvändarens data och väntar på att kommandon ska köras. GravityRAT kan exfiltrera:
- samtalsloggar
- kontaktlista
- SMS
- filer med specifika tillägg: jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32
- enhetens plats
- grundläggande enhetsinformation
Data som ska exfiltreras lagras i textfiler på externa media, exfiltreras sedan till C&C-servern och tas slutligen bort. Filsökvägarna för stegvis data listas i figur 9.
Den här versionen av GravityRAT har två små uppdateringar jämfört med tidigare, allmänt kända versioner av GravityRAT. Först utökar den listan över filer som ska exfiltreras till de med crypt14, crypt12, crypt13, crypt18och crypt32 förlängningar. Dessa kryptfiler är krypterade säkerhetskopior skapade av WhatsApp Messenger. För det andra kan den ta emot tre kommandon från en C&C-server att köra:
- Ta bort alla filer – tar bort filer med ett visst tillägg, exfiltrerade från enheten
- Ta bort alla kontakter – tar bort kontaktlistan
- Ta bort alla samtalsloggar – raderar samtalsloggar
Dessa är mycket specifika kommandon som vanligtvis inte ses i Android skadlig programvara. Tidigare versioner av Android GravityRAT kunde inte ta emot kommandon alls; de kunde bara ladda upp exfiltrerad data till en C&C-server vid en viss tidpunkt.
GravityRAT innehåller två hårdkodade C&C-subdomäner som visas i figur 10; den är dock kodad för att endast använda den första (https://dev.androidadbserver[.]com).
Denna C&C-server kontaktas för att registrera en ny komprometterad enhet och för att hämta ytterligare två C&C-adresser: https://cld.androidadbserver[.]com och https://ping.androidadbserver[.]com när vi testade det, som visas i figur 11.
Återigen, endast den första C&C-servern används, denna gång för att ladda upp enhetsanvändarens data, som ses i figur 12.
Slutsats
Känd för att ha varit aktiv sedan minst 2015, SpaceCobra har återupplivat GravityRAT för att inkludera utökade funktioner för att exfiltrera WhatsApp Messenger-säkerhetskopior och ta emot kommandon från en C&C-server för att radera filer. Precis som tidigare använder den här kampanjen meddelandeappar som täckmantel för att distribuera GravityRAT-bakdörren. Gruppen bakom skadlig programvara använder legitim OMEMO IM-kod för att tillhandahålla chattfunktionen för de skadliga meddelandeapparna BingeChat och Chatico.
Enligt ESET-telemetri riktades en användare i Indien av den uppdaterade Chatico-versionen av RAT, liknande tidigare dokumenterade SpaceCobra-kampanjer. BingeChat-versionen distribueras via en webbplats som kräver registrering, troligen öppen endast när angriparna förväntar sig att specifika offer ska besöka, möjligen med en viss IP-adress, geolokalisering, anpassad URL eller inom en specifik tidsram. Vi tror i alla fall att kampanjen är mycket riktad.
IOCS
Filer
SHA-1 | Paketnamn | ESET-detekteringsnamn | Beskrivning |
---|---|---|---|
2B448233E6C9C4594E385E799CEA9EE8C06923BD | eu.siacs.bingechat | Android/Spy.Gravity.A | GravityRAT imiterar BingeChat-appen. |
25715A41250D4B9933E3599881CE020DE7FA6DC3 | eu.siacs.bingechat | Android/Spy.Gravity.A | GravityRAT imiterar BingeChat-appen. |
1E03CD512CD75DE896E034289CB2F5A529E4D344 | eu.siacs.chatico | Android/Spy.Gravity.A | GravityRAT imiterar Chatico-appen. |
nätverks
IP | Domän | Värdleverantör | Först sett | Detaljer |
---|---|---|---|---|
75.2.37[.]224 | jre.jdklibraries[.]com | Amazon.com, Inc. | 2022-11-16 | Chatico C&C-server. |
104.21.12[.]211 | cld.androidadbserver[.]com adb.androidadbserver[.]com |
Cloudflare, Inc. | 2023-03-16 | BingeChat C&C-servrar. |
104.21.24[.]109 | dev.jdklibraries[.]com | Cloudflare, Inc. | N / A | Chatico C&C-server. |
104.21.41[.]147 | chatico.co[.]uk | Cloudflare, Inc. | 2021-11-19 | Chatico distributionswebbplats. |
172.67.196[.]90 | dev.androidadbserver[.]com ping.androidadbserver[.]com |
Cloudflare, Inc. | 2022-11-16 | BingeChat C&C-servrar. |
172.67.203[.]168 | binechat[.]net | Cloudflare, Inc. | 2022-08-18 | BingeChat distributionswebbplats. |
Vägar
Data är iscensatt för exfiltrering på följande platser:
/storage/emulated/0/Android/ebc/oww.log
/storage/emulated/0/Android/ebc/obb.log
/storage/emulated/0/bc/ms.log
/storage/emulated/0/bc/cl.log
/storage/emulated/0/bc/cdcl.log
/storage/emulated/0/bc/cdms.log
/storage/emulated/0/bc/cs.log
/storage/emulated/0/bc/location.log
MITER ATT & CK tekniker
Detta bord byggdes med hjälp av version 13 i MITER ATT&CK-ramverket.
Taktik | ID | Namn | Beskrivning |
---|---|---|---|
Persistens | T1398 | Start- eller inloggningsinitieringsskript | GravityRAT tar emot BOOT_COMPLETED sändningsavsikt att aktiveras vid start av enheten. |
T1624.001 | Händelseutlöst exekvering: Broadcast-mottagare | GravityRAT-funktionalitet utlöses om någon av dessa händelser inträffar: USB_DEVICE_ATTACHED, ACTION_CONNECTION_STATE_CHANGED, USER_UNLOCKED, ACTION_POWER_CONNECTED, ACTION_POWER_DISCONNECTED, FLYGPLANSLÄGE, SVAGT BATTERI, BATTERY_OKAY, DATE_CHANGED, STARTA om, TIME_TICK, eller CONNECTIVITY_CHANGE. |
|
Försvarsflykt | T1630.002 | Indikatorborttagning på värd: Radering av fil | GravityRAT tar bort lokala filer som innehåller känslig information som exfiltrerats från enheten. |
Discovery | T1420 | Arkiv- och katalogupptäckt | GravityRAT listar tillgängliga filer på extern lagring. |
T1422 | System Network Configuration Discovery | GravityRAT extraherar IMEI, IMSI, IP-adress, telefonnummer och land. | |
T1426 | Systeminformation upptäckt | GravityRAT extraherar information om enheten, inklusive SIM-serienummer, enhets-ID och allmän systeminformation. | |
Samling | T1533 | Data från lokalt system | GravityRAT exfiltrerar filer från enheten. |
T1430 | Platsspårning | GravityRAT spårar enhetens plats. | |
T1636.002 | Skyddad användardata: Samtalsloggar | GravityRAT extraherar samtalsloggar. | |
T1636.003 | Skyddad användardata: Kontaktlista | GravityRAT extraherar kontaktlistan. | |
T1636.004 | Skyddad användardata: SMS-meddelanden | GravityRAT extraherar SMS-meddelanden. | |
Command and Control | T1437.001 | Application Layer Protocol: webbprotokoll | GravityRAT använder HTTPS för att kommunicera med sin C&C-server. |
exfiltration | T1646 | Exfiltrering över C2 -kanal | GravityRAT exfiltrerar data med hjälp av HTTPS. |
Inverkan | T1641 | Manipulation av data | GravityRAT tar bort filer med särskilda tillägg från enheten och raderar alla användarloggar och kontaktlistan. |
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- EVM Finans. Unified Interface for Decentralized Finance. Tillgång här.
- Quantum Media Group. IR/PR förstärkt. Tillgång här.
- PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups/
- : har
- :är
- :inte
- 1
- 10
- 11
- 12
- 16
- 2020
- 2021
- 2022
- 32
- 500
- 67
- 7
- 8
- 9
- a
- Able
- Om oss
- tillgång
- Konto
- aktiv
- aktivitet
- Annat
- adress
- adresser
- reklam
- Efter
- mot
- orolig
- Alla
- tillåter
- också
- an
- analys
- analyseras
- och
- android
- Annan
- vilken som helst
- app
- Ansökan
- appar
- ÄR
- AS
- associerad
- At
- attackera
- Attacker
- AUGUSTI
- Automatiserad
- tillgänglig
- bakdörr
- säkerhetskopiering
- säkerhetskopior
- baserat
- BE
- varit
- innan
- bakom
- Där vi får lov att vara utan att konstant prestera,
- tro
- tillhör
- mellan
- båda
- branded
- sända
- byggt
- men
- Knappen
- by
- Ring
- Kampanj
- Kampanjer
- KAN
- kapacitet
- kapabel
- Vid
- Cisco
- hävdar
- klass
- klasser
- klient
- stängt
- koda
- kodad
- COM
- Gemensam
- kommunicera
- Kommunikation
- jämfört
- jämförelse
- Äventyras
- förtroende
- konfiguration
- med tanke på
- kontakta
- innehålla
- innehöll
- innehåller
- kunde
- land
- täcka
- skapa
- skapas
- referenser
- krypta
- För närvarande
- beställnings
- datum
- Detektering
- anordning
- upptäckt
- distribuera
- distribueras
- fördelning
- do
- inte
- domän
- Domain Name
- domäner
- ladda ner
- sysselsätter
- krypterad
- förbättrad
- Även
- händelser
- bevis
- Utom
- exekvera
- utförande
- exfiltrering
- expanderade
- förvänta
- sträcker
- förlängning
- förlängningar
- extern
- extrakt
- FB
- Figur
- Fil
- Filer
- Slutligen
- hitta
- Förnamn
- Fokus
- efter
- För
- hittade
- Fri
- från
- funktionaliteter
- funktionalitet
- ytterligare
- genereras
- Går
- Google Play
- Google Play Store
- tyngdkraften
- Grupp
- hash
- Har
- har
- här.
- Hög
- höggradigt
- värd
- Hur ser din drömresa ut
- Men
- html
- HTTPS
- ID
- identifierade
- if
- in
- innefattar
- innefattar
- Inklusive
- indien
- informationen
- inledande
- omedelbar
- uppsåt
- interagera
- invändigt
- in
- IP
- IP-adress
- IT
- DESS
- jpg
- Juli
- juni
- bara
- Vet
- känd
- lansera
- lager
- t minst
- vänster
- Äkta
- legitim
- sannolikt
- Lista
- Noterade
- listor
- lokal
- läge
- log
- logga in
- längre
- Mac OS
- gjord
- malware
- max-bredd
- betyder
- Media
- nämnts
- meddelanden
- meddelandehantering
- Messenger
- kanske
- mest
- namn
- namn
- nödvändigt för
- nät
- aldrig
- Nya
- nytt
- Nej
- anmärkningsvärd
- nu
- antal
- inträffade
- of
- offline
- on
- ONE
- pågående
- endast
- öppet
- öppen källkod
- operatörer
- Tillbehör
- or
- Övriga
- annat
- vår
- ut
- över
- Översikt
- Pakistan
- del
- särskilt
- mönster
- tillstånd
- behörigheter
- telefon
- bit
- platser
- plato
- Platon Data Intelligence
- PlatonData
- Spela
- Play butik
- Punkt
- poäng
- möjlig
- eventuellt
- potentiell
- presenterar
- föregående
- tidigare
- förmodligen
- ordentligt
- protokoll
- ge
- ger
- publicly
- publicerade
- RÅTTA
- Läsa
- motta
- erhåller
- mottagande
- registreras
- registrera
- registrerat
- Registrering
- resterna
- avlägsen
- fjärråtkomst
- avlägsnande
- avlägsnas
- förfrågningar
- Kräver
- forskare
- höger
- Samma
- ordningen
- screen
- Andra
- se
- verkar
- sett
- känslig
- seriell
- Servrar
- service
- Tjänster
- delas
- delning
- skall
- visas
- Tecken
- SIM
- liknande
- eftersom
- webbplats
- Small
- SMS
- So
- specifik
- specifikt
- spionprogram
- startar
- start
- Ange
- stjäl
- Fortfarande
- förvaring
- lagra
- lagras
- sådana
- system
- bord
- Talos
- riktade
- testade
- den där
- Smakämnen
- Dem
- tema
- sedan
- Där.
- därför
- Dessa
- de
- detta
- de
- fastän?
- tre
- Genom
- tid
- tidsram
- till
- verktyg
- spår
- triggas
- Trojan
- tweet
- två
- typisk
- typiskt
- under
- okänd
- uppdaterad
- Uppdateringar
- URL
- us
- användning
- Begagnade
- Användare
- användningar
- med hjälp av
- version
- mycket
- via
- Victim
- offer
- Besök
- besökare
- väntar
- var
- we
- webb
- Webbplats
- były
- när
- som
- bred
- kommer
- fönster
- med
- inom
- Wordpress
- wordpress teman
- Arbete
- XML
- Om er
- zephyrnet