ESET 研究人员分析了 Android GravityRAT 间谍软件的更新版本,该软件会窃取 WhatsApp 备份文件并可以接收删除文件的命令
ESET 研究人员发现 Android GravityRAT 间谍软件的更新版本以消息应用程序 BingeChat 和 Chatico 的形式进行分发。 GravityRAT是已知使用的远程访问工具 因为至少2015 此前曾用于针对印度的针对性攻击。 Windows、Android 和 macOS 版本均可用,如之前所述 思科Talos, 卡巴斯基及 ble。 GravityRAT 背后的幕后黑手仍然未知; 我们在内部追踪该组织的名称为 SpaceCobra。
BingeChat 活动很可能自 2022 年 XNUMX 月起就开始活跃,目前仍在进行中; 然而,使用 Chatico 的活动已不再活跃。 BingeChat 通过一个广告免费消息服务的网站进行分发。 在新发现的活动中值得注意的是,GravityRAT 可以泄露 WhatsApp 备份并接收删除文件的命令。 恶意应用程序还提供基于开源的合法聊天功能 OMEMO 即时通讯应用程序.
- 我们发现新版本的 Android GravityRAT 间谍软件作为合法开源 OMEMO Instant Messenger Android 应用程序的木马版本进行分发。
- 木马化的 BingeChat 应用程序可以从一个网站下载,该网站将其作为免费的消息传递和文件共享服务提供。
- 此版本的 GravityRAT 增强了两项新功能:接收删除文件的命令和窃取 WhatsApp 备份文件。
活动概览
我们收到此活动的提醒 MalwareHunterTeam,它通过推文分享了 GravityRAT 样本的哈希值。 根据 APK 文件的名称,该恶意应用程序被标记为 BingeChat,并声称提供消息传递功能。 我们找到了网站 宾格聊天[.]网 该示例可能已从其中下载(参见图 1)。
点击“下载应用程序”按钮后,网站应提供恶意应用程序; 但是,它要求访问者登录。我们没有凭据,并且注册已关闭(参见图 2)。 最有可能的是,运营商仅在预期特定受害者访问时才开放注册,可能使用特定的 IP 地址、地理位置、自定义 URL 或在特定的时间范围内。 因此,我们认为潜在的受害者具有很强的针对性。
虽然我们无法通过网站下载 BingeChat 应用程序,但我们能够在 VirusTotal 上找到一个 URL (https://downloads.bingechat[.]net/uploadA/c1d8bad13c5359c97cab280f7b561389153/BingeChat.zip),其中包含恶意 BingeChat Android 应用程序。 该应用程序与前面提到的推文中的应用程序具有相同的哈希值,这意味着该 URL 是该特定 GravityRAT 示例的分发点。
BingeChat 应用程序的代码中也引用了相同的域名——另一个提示 宾格聊天[.]网 用于分发(见图 3)。
该恶意应用程序从未在 Google Play 商店中提供。 它是合法开源软件的木马版本 OMEMO即时通讯软件 (IM) Android 应用程序,但品牌为 BingeChat。 OMEMO IM 是 Android Jabber 客户端的重建 对话.
如图 4 所示,恶意网站的 HTML 代码包含从合法网站复制的证据 Preview.colorlib.com/theme/BingeChat/ 七月5th, 2022, 使用自动化工具 的HTTrack; colorlib.com 是一个提供 WordPress 主题下载的合法网站,但该网站似乎不再提供 BingeChat 主题。 这 宾格聊天[.]网 域名于18月XNUMX日注册th2022。
我们不知道潜在的受害者是如何被引诱到或以其他方式发现该恶意网站的。 考虑到下载该应用程序的条件是拥有一个帐户,而我们无法注册新帐户,因此我们认为潜在的受害者是专门针对的。 攻击概述方案如图5所示。
受害者
ESET 遥测数据尚未记录此 BingeChat 活动的任何受害者,进一步表明该活动的目标可能很狭窄。 然而,我们的遥测在 2022 年 6 月在印度检测到了另一个 Android GravityRAT 样本。在这种情况下,GravityRAT 的品牌为 Chatico(见图 XNUMX)。
与 BingeChat 一样,Chatico 也基于 OMEMO Instant Messenger 应用程序,并使用 GravityRAT 木马化。 Chatico 最有可能是通过 chatico.co[.]uk 网站并与 C&C 服务器进行通信。 该网站和 C&C 服务器的域现已离线。
从现在开始,我们将只关注使用 BingeChat 应用程序的活动活动,该应用程序具有与 Chatico 相同的恶意功能。
归因
尽管 Facebook 研究人员发现该恶意软件背后的组织仍然未知 属性 与之前一样,GravityRAT 是位于巴基斯坦的一个组织 推测 由思科 Talos 提供。 我们以 SpaceCobra 的名称在内部跟踪该组,并将 BingeChat 和 Chatico 活动都归属于该组。
GravityRAT 的典型恶意功能与一段特定的代码相关,该代码在 2020 年被归因于 卡巴斯基 到使用 GravityRAT Windows 变体的组
2021年, ble 发表了对另一个 GravityRAT 活动的分析,该活动表现出与 BingeChat 相同的模式,例如伪装成合法聊天应用程序的木马的类似分发向量,在本例中是 SoSafe Chat,使用开源 奥米莫即时通讯 代码和相同的恶意功能。 在图 6 中,您可以看到 Cyble 分析的 GravityRAT 样本与 BingeChat 中包含的新样本之间的恶意类比较。 基于此比较,我们可以高度确信 BingeChat 中的恶意代码属于 GravityRAT 恶意软件家族
技术分析
启动后,应用程序会请求用户允许正常工作所需的所有权限,如图 8 所示。除了读取通话记录的权限外,其他请求的权限是任何消息应用程序的典型权限,因此设备用户可能不会当应用程序请求它们时,请发出警报。
作为应用程序合法功能的一部分,它提供了创建帐户和登录的选项。在用户登录应用程序之前,GravityRAT 开始与其 C&C 服务器交互,窃取设备用户的数据并等待命令执行。 GravityRAT 能够渗透:
- 通话记录
- 联系人列表
- 短信
- 具有特定扩展名的文件: jpg、jpeg、日志、png、PNG、JPG、JPEG、txt、pdf、xml、doc、xls、xlsx、ppt、pptx、docx、opus、crypt14、crypt12、crypt13、crypt18、crypt32
- 设备位置
- 设备基本信息
待渗透的数据存储在外部介质上的文本文件中,然后渗透到C&C服务器,最后被删除。 图 9 列出了暂存数据的文件路径。
与之前公开的 GravityRAT 版本相比,此版本的 GravityRAT 有两个小更新。 首先,它将要渗透的文件列表扩展到具有 crypt14, crypt12, crypt13, crypt18及 crypt32 扩展。 这些 crypt 文件是 WhatsApp Messenger 创建的加密备份。 其次,它可以从C&C服务器接收三个命令来执行:
- 删除所有文件 – 删除从设备中泄露的具有特定扩展名的文件
- 删除所有联系人 – 删除联系人列表
- 删除所有通话记录 – 删除通话记录
这些是非常具体的命令,通常在 Android 恶意软件中不常见。 以前版本的Android GravityRAT根本无法接收命令; 他们只能在特定时间将泄露的数据上传到 C&C 服务器。
GravityRAT 包含两个硬编码的 C&C 子域,如图 10 所示; 但是,它被编码为仅使用第一个(https://dev.androidadbserver[.]com).
联系此 C&C 服务器以注册新的受感染设备,并检索两个额外的 C&C 地址: https://cld.androidadbserver[.]com 和 https://ping.androidadbserver[.]com 我们测试的时候,如图11所示。
同样,仅使用第一个 C&C 服务器,这次用于上传设备用户的数据,如图 12 所示。
结论
已知一直活跃 因为至少2015,SpaceCobra 已恢复 GravityRAT,包括扩展功能,以窃取 WhatsApp Messenger 备份并从 C&C 服务器接收命令以删除文件。 与之前一样,该活动利用消息应用程序作为掩护来传播 GravityRAT 后门。 该恶意软件背后的组织使用合法的 OMEMO IM 代码为恶意消息应用程序 BingeChat 和 Chatico 提供聊天功能。
根据 ESET 遥测数据,印度的一名用户成为了更新的 Chatico 版本 RAT 的目标,类似于之前记录的 SpaceCobra 活动。 BingeChat 版本通过需要注册的网站进行分发,该网站可能仅在攻击者预期特定受害者访问时才打开,可能使用特定 IP 地址、地理位置、自定义 URL 或在特定时间范围内访问。 无论如何,我们认为该活动具有很强的针对性。
国际石油公司
档
SHA-1 | 包裹名字 | ESET检测名称 | 课程描述 |
---|---|---|---|
2B448233E6C9C4594E385E799CEA9EE8C06923BD | eusiacs.bingechat | Android/间谍重力.A | GravityRAT 模仿 BingeChat 应用程序。 |
25715A41250D4B9933E3599881CE020DE7FA6DC3 | eusiacs.bingechat | Android/间谍重力.A | GravityRAT 模仿 BingeChat 应用程序。 |
1E03CD512CD75DE896E034289CB2F5A529E4D344 | eusiacs.chatico | Android/间谍重力.A | GravityRAT 模仿 Chatico 应用程序。 |
商业网络
IP | 域名 | 托管服务商 | 初见 | 更多信息 |
---|---|---|---|---|
75.2.37[.]224 | jre.jdklibraries[.]com | Amazon.com,Inc. | 2022-11-16 | Chatico C&C 服务器。 |
104.21.12[.]211 | cld.androidadbserver[.]com adb.androidadbserver[.]com |
Cloudflare,Inc。 | 2023-03-16 | BingeChat C&C 服务器。 |
104.21.24[.]109 | dev.jdklibraries[.]com | Cloudflare,Inc。 | 无 | Chatico C&C 服务器。 |
104.21.41[.]147 | chatico.co[.]uk | Cloudflare,Inc。 | 2021-11-19 | Chatico 分销网站。 |
172.67.196[.]90 | dev.androidadbserver[.]com ping.androidadbserver[.]com |
Cloudflare,Inc。 | 2022-11-16 | BingeChat C&C 服务器。 |
172.67.203[.]168 | 宾格聊天[.]网 | Cloudflare,Inc。 | 2022-08-18 | BingeChat 分发网站。 |
路径
数据在以下位置进行泄露:
/storage/emulated/0/Android/ebc/oww.log
/storage/emulated/0/Android/ebc/obb.log
/存储/模拟/0/bc/ms.log
/storage/emulated/0/bc/cl.log
/storage/emulated/0/bc/cdcl.log
/storage/emulated/0/bc/cdms.log
/storage/emulated/0/bc/cs.log
/storage/emulated/0/bc/location.log
MITRE ATT&CK 技术
该表是使用 13版 MITRE ATT&CK 框架.
战术 | ID | 名字 | 课程描述 |
---|---|---|---|
坚持 | T1398 | 引导或登录初始化脚本 | GravityRAT 接收 启动_完成 广播意图在设备启动时激活。 |
T1624.001 | 事件触发执行:广播接收器 | 如果发生以下事件之一,则会触发 GravityRAT 功能: USB_DEVICE_ATTACHED, ACTION_CONNECTION_STATE_CHANGED, 用户_解锁, ACTION_POWER_CONNECTED, ACTION_POWER_DISCONNECTED, 飞行模式, 电量不足, 电池_好的, DATE_CHANGED, 重启, TIME_TICK,或 连接性_更改。 |
|
防御规避 | T1630.002 | 主机上的指示器删除:文件删除 | GravityRAT 会删除包含从设备中泄露的敏感信息的本地文件。 |
药物发现 | T1420 | 文件和目录发现 | GravityRAT 列出了外部存储上的可用文件。 |
T1422 | 系统网络配置发现 | GravityRAT 提取 IMEI、IMSI、IP 地址、电话号码和国家/地区。 | |
T1426 | 系统信息发现 | GravityRAT 提取有关设备的信息,包括 SIM 序列号、设备 ID 和通用系统信息。 | |
购物 | T1533 | 来自本地系统的数据 | GravityRAT 从设备中窃取文件。 |
T1430 | 位置跟踪 | GravityRAT 跟踪设备位置。 | |
T1636.002 | 受保护的用户数据:通话记录 | GravityRAT 提取通话日志。 | |
T1636.003 | 受保护的用户数据:联系人列表 | GravityRAT 提取联系人列表。 | |
T1636.004 | 受保护的用户数据:短信 | GravityRAT 提取 SMS 消息。 | |
指挥和控制 | T1437.001 | 应用层协议:Web 协议 | GravityRAT 使用 HTTPS 与其 C&C 服务器进行通信。 |
渗出 | T1646 | 通过 C2 通道进行渗透 | GravityRAT 使用 HTTPS 窃取数据。 |
影响力故事 | T1641 | 数据操作 | GravityRAT 会从设备中删除具有特定扩展名的文件,并删除所有用户通话记录和联系人列表。 |
- SEO 支持的内容和 PR 分发。 今天得到放大。
- EVM财务。 去中心化金融的统一接口。 访问这里。
- 量子传媒集团。 IR/PR 放大。 访问这里。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- Sumber: https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups/
- :具有
- :是
- :不是
- 1
- 10
- 11
- 12
- 16
- 2020
- 2021
- 2022
- 32
- 500
- 67
- 7
- 8
- 9
- a
- Able
- 关于
- ACCESS
- 账号管理
- 要积极。
- 活动
- 额外
- 地址
- 地址
- 广告
- 后
- 驳
- 惊慌
- 所有类型
- 让
- 还
- an
- 分析
- 分析
- 和
- 安卓
- 另一个
- 任何
- 应用
- 应用领域
- 应用
- 保健
- AS
- 相关
- At
- 攻击
- 攻击
- 八月
- 自动化
- 可使用
- 后门
- 备份工具
- 备份
- 基于
- BE
- 很
- before
- 背后
- 作为
- 相信
- 属于
- 之间
- 都
- 品牌
- 播放
- 建
- 但是
- 按键
- by
- 呼叫
- 营销活动
- 活动
- CAN
- 能力
- 能力
- 案件
- 思科
- 索赔
- 程
- 类
- 客户
- 关闭
- 码
- 编码
- COM的
- 相当常见
- 通信
- 沟通
- 相比
- 对照
- 妥协
- 信心
- 配置
- 考虑
- CONTACT
- 包含
- 包含
- 包含
- 可以
- 国家
- 外壳
- 创建信息图
- 创建
- 资历
- 地穴
- 目前
- 习俗
- data
- 检测
- 设备
- 发现
- 分发
- 分布
- 分配
- do
- 不会
- 域
- 域名
- 域名
- 下载
- 员工
- 加密
- 增强
- 甚至
- 事件
- 证据
- 除
- 执行
- 执行
- 渗出
- 扩大
- 期望
- 扩展
- 延期
- 扩展
- 外部
- 提取物
- FB
- 数字
- 文件
- 档
- 终于
- 找到最适合您的地方
- 姓氏:
- 专注焦点
- 以下
- 针对
- 发现
- Free
- 止
- 功能
- 功能
- 进一步
- 产生
- GOES
- 谷歌
- Google Play
- 谷歌Play商店
- 重力
- 团队
- 哈希
- 有
- 有
- 此处
- 高
- 高度
- 主持人
- 创新中心
- 但是
- HTML
- HTTPS
- ID
- 确定
- if
- in
- 包括
- 包括
- 包含
- 印度
- 信息
- 初始
- 即食类
- 意图
- 相互作用
- 内部
- 成
- IP
- IP地址
- IT
- 它的
- JPG
- 七月
- 六月
- 只是
- 知道
- 已知
- 发射
- 层
- 最少
- 左
- 合法的
- 合法
- 容易
- 清单
- 已发布
- 书单
- 本地
- 圖書分館的位置
- 日志
- 登录
- 不再
- MacOS的
- 制成
- 恶意软件
- 最大宽度
- 手段
- 媒体
- 提到
- 条未读消息
- 消息
- 信使
- 可能
- 最先进的
- 姓名
- 名称
- 必要
- 网络
- 决不要
- 全新
- 新
- 没有
- 显着
- 现在
- 数
- 发生
- of
- 这一点在线下监测数字化产品的影响方面尤为明显。
- on
- 一
- 正在进行
- 仅由
- 打开
- 开放源码
- 运营商
- 附加选项
- or
- 其他名称
- 除此以外
- 我们的
- 输出
- 超过
- 简介
- 巴基斯坦
- 部分
- 特别
- 模式
- 允许
- 权限
- 电话
- 片
- 地方
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- Play商店
- 点
- 点
- 可能
- 或者
- 潜力
- 礼物
- 以前
- 先前
- 大概
- 正确
- 协议
- 提供
- 提供
- 公然
- 出版
- RAT
- 阅读
- 接收
- 接收
- 接收
- 记录
- 寄存器
- 在相关机构注册的
- 注册
- 遗迹
- 远程
- 通过远程访问
- 切除
- 去除
- 要求
- 需要
- 研究人员
- 右
- 同
- 方案
- 屏风
- 其次
- 看到
- 似乎
- 看到
- 敏感
- 串行
- 服务器
- 服务
- 特色服务
- 共用的,
- 共享
- 应该
- 如图
- 迹象
- SIM
- 类似
- 自
- 网站
- 小
- 短信
- So
- 具体的
- 特别是
- 间谍
- 启动
- 启动
- 州/领地
- 抢断
- 仍
- 存储
- 商店
- 存储
- 这样
- 系统
- 表
- 塔洛斯
- 针对
- 测试
- 这
- 他们
- 主题
- 然后
- 那里。
- 因此
- 博曼
- 他们
- Free Introduction
- 那些
- 虽然?
- 三
- 通过
- 次
- 时间表
- 至
- 工具
- 跟踪时
- 引发
- 木马
- 鸣叫
- 二
- 普遍
- 一般
- 下
- 不明
- 更新
- 最新动态
- 网址
- us
- 使用
- 用过的
- 用户
- 使用
- 运用
- 版本
- 非常
- 通过
- 受害者
- 受害者
- 参观
- 访客
- 等候
- 是
- we
- 卷筒纸
- 您的网站
- 为
- ,尤其是
- 这
- 宽
- 将
- 窗户
- 中
- WordPress
- WordPress主题
- 工作
- XML
- 完全
- 和风网