GravityRAT: un malware que va en busca de la copia de seguridad de WhatsApp

Noticias y Novedades

El equipo de investigación de ESET identificó una versión actualizada para Android de GravityRAT, un troyano de acceso remoto que se distribuye como las aplicaciones de mensajería BingeChat y Chatico. GravityRAT es una herramienta de acceso remoto que se conoce desde al menos 2015 y que se usó anteriormente en ataques dirigidos en India. Existen versiones disponibles de este malware para Windows, Android y macOS, tal como lo documentaron previamente Cisco TalosKaspersky, y Cyble. Si bien el actor detrás de GravityRAT sigue siendo desconocido; internamente rastreamos al grupo como SpaceCobra.

Probablemente activa desde agosto de 2022, la campaña de BingeChat aún está en curso. Sin embargo, la campaña que utiliza Chatico ya no está activa. BingeChat se distribuye a través de un sitio web que anuncia servicios de mensajería gratuitos. Notable en la campaña recién descubierta, GravityRAT puede filtrar las copias de seguridad de WhatsApp y recibir comandos para eliminar archivos. Las aplicaciones maliciosas también brindan una funcionalidad de chat legítima basada en la aplicación OMEMO Instant Messenger, la cual es de código abierto.

 

Puntos clave en esta publicación:

  • Descubrimos una nueva versión para Android del software espía GravityRAT que se distribuye como versiones troyanizadas de la aplicación legítima de código abierto OMEMO Instant Messenger para Android.
  • La aplicación BingeChat troyanizada está disponible para su descarga desde un sitio web que la presenta como un servicio gratuito de mensajería y uso compartido de archivos.
  • Esta versión de GravityRAT ha sido mejorada con dos nuevas capacidades: es puede recibir comandos para eliminar archivos y extraer archivos de la copia de seguridad de WhatsApp.

 

Descripción de la campaña

Fuimos alertados de esta campaña por el equipo de MalwareHunterTeam, que compartió el hash de una muestra de GravityRAT a través de un tweet. Según el nombre del archivo APK, la app maliciosa tiene la marca BingeChat y afirma proporcionar la funcionalidad de mensajería. Encontramos que el sitio web bingechat[.]net a estado distribuyendo esta muestra (ver Figura 1).

 

 

Figura 1. Sitio web que distribuye la aplicación de mensajería maliciosa BingeChat

El sitio web debería descargar la aplicación maliciosa después de tocar el botón DESCARGAR APLICACIÓN; sin embargo, solicita que los visitantes inicien sesión. No teníamos credenciales y los registros estaban cerrados (ver Figura 2). Lo más probable es que los operadores detrás de esta campaña solo abran el registro cuando esperan que una víctima específica visite el sitio, posiblemente a través de una dirección IP particular, geolocalización, una URL personalizada o dentro de un período de tiempo específico. Por lo tanto, creemos que las víctimas potenciales son altamente específicas.

 

Figura 2. El servicio actualmente no proporciona registros

 

Aunque no pudimos descargar la aplicación BingeChat a través del sitio web, pudimos encontrar una URL en VirusTotal (https://downloads.bingechat[.]net/uploadA/c1d8bad13c5359c97cab280f7b561389153/BingeChat.zip) que contiene la aplicación maliciosa BingeChat para Android. Esta aplicación tiene el mismo hash que la aplicación del tweet mencionado anteriormente, lo que significa que esta URL es un punto de distribución para esta muestra de GravityRAT en particular.

También se hace referencia al mismo nombre de dominio en el código de la aplicación BingeChat, otra pista de que bingechat[.]net se usa para la distribución (consulte la Figura 3).

 

Figura 3. Nombre de dominio de distribución al que se hace referencia en la aplicación BingeChat

 

La aplicación maliciosa nunca estuvo disponible en la tienda Google Play. Es una versión troyanizada de la aplicación de Android legítima OMEMO Instant Messenger (IM), que como mencionamos antes, es de código abierto. Sin embargo, tiene la marca BingeChat. OMEMO IM es una reconstrucción del cliente para Android Conversations.

Como puede ver en la Figura 4, el código HTML del sitio malicioso presenta evidencia de que fue copiado del sitio legítimo preview.colorlib.com/theme/BingeChat/ el 5 de julio de 2022 , utilizando la herramienta automatizada HTTrack; colorlib.com es un sitio web legítimo que ofrece temas de WordPress para descargar, pero parece que el tema de BingeChat ya no está disponible allí. El dominio bingechat[.]net fue registrado el 18 de agosto de 2022.

 

Figura 4. Log generado por la herramienta HTTrack y registrado en el código HTML del sitio web utilizado para la distribución.

 

No sabemos cómo fue que las potenciales víctimas fueron atraídas o descubrieron el sitio web malicioso. Teniendo en cuenta que la posibilidad de descargar la aplicación está condicionada a tener una cuenta y que no fue posible registrar una nueva cuenta al momento del análisis, creemos que las víctimas de esta campaña fueron especialmente seleccionadas. En la siguiente imagen podemos observar el esquema que describe la campaña.

 

Figura 5. Mecanismo de distribución de GravityRAT

 

Victimología

Los datos de telemetría de ESET no han registrado ninguna víctima de esta campaña de BingeChat, lo que sugiere además que la campaña probablemente tenga un objetivo limitado. Sin embargo, nuestra telemetría tiene una detección de otra muestra para Android de GravityRAT en India que data de junio de 2022. En este caso, GravityRAT se denominó Chatico (consulte la Figura 6).

 

Figura 6. Pantalla de inicio de sesión de Chatico

 

Al igual que BingeChat, Chatico se basa en la aplicación OMEMO Instant Messenger y está troyanizada con GravityRAT. Lo más probable es que Chatico se distribuyera a través del sitio web chatico.co[.]uk y también se comunicara con un servidor de C&C. Los dominios tanto del sitio web como del servidor de C&C ahora están fuera de línea.

De ahora en adelante, solo nos centraremos en la campaña activa que utiliza la aplicación BingeChat, que tiene la misma funcionalidad maliciosa que Chatico.

 

Atribución

El grupo detrás del malware sigue siendo desconocido, a pesar de que los investigadores de Facebook atribuyen GravityRAT a un grupo con sede en Pakistán, y lo mismo hizo Cisco Talos. Nosotros realizamos un seguimiento interno del grupo bajo el nombre de SpaceCobra y atribuimos las campañas de BingeChat y Chatico a este grupo.

La funcionalidad maliciosa típica para GravityRAT está asociada con una pieza específica de código que, en 2020, Kaspersky atribuyó a un grupo que usa variantes para Windows de GravityRAT.

En 2021, Cyble publicó un análisis de otra campaña de GravityRAT que mostraba los mismos patrones que BingeChat, como un vector de distribución similar para el troyano enmascarado como una aplicación de chat legítima, que en este caso era SoSafe Chat, el uso del código de OMEMO IM, y la misma funcionalidad maliciosa. En la Figura 6 se puede apreciar una comparación de clases maliciosas entre la muestra de GravityRAT analizada por Cyble y la nueva muestra contenida en BingeChat. Basándonos en esta comparación, podemos afirmar con mucha seguridad que el código malicioso de BingeChat pertenece a la familia de malware GravityRAT.

 

Figura 7. Comparación de los nombres de clase del troyano que se hace pasar por aplicaciones legítimas de SoSafe Chat (izquierda) y BingeChat (derecha)

 

Análisis técnico

Después de iniciarse, la aplicación solicita al usuario que habilite todos los permisos necesarios para funcionar correctamente, como se muestra en la Figura 8. Excepto por el permiso para leer los registros de llamadas, los otros permisos solicitados son típicos de cualquier aplicación de mensajería, por lo que es posible que el usuario del dispositivo no se alarme cuando la aplicación los solicite.

 

Figura 8. Permisos que solicita BingeChat

 

Como parte de la funcionalidad legítima, la aplicación ofrece opciones para crear una cuenta e iniciar sesión. Antes de que el usuario inicie sesión en la aplicación, GravityRAT comienza a interactuar con su servidor C&C, filtrando los datos del usuario del dispositivo y esperando que se ejecuten los comandos. GravityRAT es capaz de exfiltrar:

  • registros de llamadas
  • lista de contactos
  • mensajes SMS
  • archivos con extensiones específicas: jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32
  • ubicación del dispositivo
  • información básica del dispositivo

Los datos que se exfiltrarán se almacenan en archivos de texto en medios externos, luego se extraen al servidor de C&C y finalmente se eliminan. En la Figura 9 se observa cómo se enumeran las rutas de archivo para los datos por etapas.

 

Figura 9. Ruta de archivos de datos preparados para exfiltración

 

Esta versión de GravityRAT tiene dos pequeñas actualizaciones en comparación con las versiones anteriores públicamente conocidas de GravityRAT. Primero, amplía la lista de archivos para exfiltrar a aquellos con las extensiones crypt14, crypt12, crypt13, crypt18 y crypt32. Estos archivos cifrados son copias de seguridad creadas por WhatsApp Messenger. En segundo lugar, puede recibir tres comandos de un servidor de C&C para ejecutar:

  • DeleteAllFiles – elimina archivos con una extensión particular, extraídos del dispositivo
  • DeleteAllContacts – elimina la lista de contactos
  • DeleteAllCallLogs – elimina los registros de llamadas

Estos son comandos muy específicos que normalmente no se ven en el malware para Android. Las versiones anteriores de GravityRAT para Android no podían recibir comandos en absoluto; solo podían cargar datos extraídos a un servidor C&C en un momento determinado.

GravityRAT contiene dos subdominios de C&C hardcodeados que se muestran en la Figura 10; sin embargo, está codificado para que solo use el primero (httpks://dev.androidadbserver[.]com).

Figura 10. Servidores de C&C iniciales hardcodeados

 

Se contacta con este servidor de C&C para registrar un nuevo dispositivo comprometido y para recuperar dos direcciones de C&C adicionales que, cuando realizamos las pruebas, eran https://cld.androidadbserver[.]com y https://ping.androidadbserver[.]com, tal como se observa en la Figura 11.

 

Figura 11. Comunicación con el C&C para registrar un nuevo dispositivo

 

Nuevamente, solo se usa el primer servidor de C&C, esta vez para cargar los datos del usuario del dispositivo, como se observa en la Figura 12.

 

Figura 12. Exfiltración de datos de víctimas al servidor C&C

 

Conclusión

Conocido por haber estado activo desde al menos 2015, el grupo SpaceCobra ha resucitado a GravityRAT ampliando sus funcionalidades para exfiltrar las copias de seguridad de WhatsApp Messenger y recibir comandos de un servidor C&C para eliminar archivos. Al igual que antes, esta campaña utiliza aplicaciones de mensajería como señuelo para para distribuir el backdoor GravityRAT. El grupo detrás de este malware utiliza el código de la app de mensajería instantánea legítima llamada OMEMO para proporcionar la funcionalidad de chat en las aplicaciones de mensajería maliciosas BingeChat y Chatico.

Según la telemetría de ESET, un usuario de india fue atacado con la versión actualizada de este RAT utilizando como señuelo la app Chatico y la campaña comparte características con otras campañas previamente documentadas. La versión de BingeChat se distribuye a través de un sitio web que requiere registro, probablemente abierto solo cuando los atacantes esperan que lo visiten víctimas específicas, posiblemente con una dirección IP particular, geolocalización, una URL personalizada o dentro de un período de tiempo específico. En cualquier caso, creemos que la campaña está muy dirigida.

 

Indicadores de Compromiso

 

Archivos

SHA-1 Package name ESET detection name Description
2B448233E6C9C4594E385E799CEA9EE8C06923BD eu.siacs.bingechat Android/Spy.Gravity.A GravityRAT impersonating BingeChat app.
25715A41250D4B9933E3599881CE020DE7FA6DC3 eu.siacs.bingechat Android/Spy.Gravity.A GravityRAT impersonating BingeChat app.
1E03CD512CD75DE896E034289CB2F5A529E4D344 eu.siacs.chatico Android/Spy.Gravity.A GravityRAT impersonating Chatico app.

 

Red

IP Domain Hosting provider First seen Details
75.2.37[.]224 jre.jdklibraries[.]com Amazon.com, Inc. 2022-11-16 Chatico C&C server.
104.21.12[.]211 cld.androidadbserver[.]com
adb.androidadbserver[.]com
Cloudflare, Inc. 2023‑03‑16 BingeChat C&C servers.
104.21.24[.]109 dev.jdklibraries[.]com Cloudflare, Inc. N/A Chatico C&C server.
104.21.41[.]147 chatico.co[.]uk Cloudflare, Inc. 2021-11-19 Chatico distribution website.
172.67.196[.]90 dev.androidadbserver[.]com
ping.androidadbserver[.]com
Cloudflare, Inc. 2022-11-16 BingeChat C&C servers.
172.67.203[.]168 bingechat[.]net Cloudflare, Inc. 2022‑08‑18 BingeChat distribution website.

 

Rutas

Los datos para exfiltración son presentados en las siguientes rutas:

/storage/emulated/0/Android/ebc/oww.log
/storage/emulated/0/Android/ebc/obb.log
/storage/emulated/0/bc/ms.log
/storage/emulated/0/bc/cl.log
/storage/emulated/0/bc/cdcl.log
/storage/emulated/0/bc/cdms.log
/storage/emulated/0/bc/cs.log
/storage/emulated/0/bc/location.log

 

Técnicas de MITRE ATT&CK

 

Esta tabla fue creada utilizando la versión 13 del framework MITRE ATT&CK.

 

Tactic ID Name Description
Persistence T1398 Boot or Logon Initialization Scripts GravityRAT receives the BOOT_COMPLETED broadcast intent to activate at device startup.
T1624.001 Event Triggered Execution: Broadcast Receivers GravityRAT functionality is triggered if one of these events occurs:
USB_DEVICE_ATTACHED,
ACTION_CONNECTION_STATE_CHANGED,
USER_UNLOCKED,
ACTION_POWER_CONNECTED,
ACTION_POWER_DISCONNECTED,
AIRPLANE_MODE,
BATTERY_LOW,
BATTERY_OKAY,
DATE_CHANGED,
REBOOT,
TIME_TICK, or
CONNECTIVITY_CHANGE.
Defense Evasion T1630.002 Indicator Removal on Host: File Deletion GravityRAT removes local files that contain sensitive information exfiltrated from the device.
Discovery T1420 File and Directory Discovery GravityRAT lists available files on external storage.
T1422 System Network Configuration Discovery GravityRAT extracts the IMEI, IMSI, IP address, phone number, and country.
T1426 System Information Discovery GravityRAT extracts information about the device, including SIM serial number, device ID, and common system information.
Collection T1533 Data from Local System GravityRAT exfiltrates files from the device.
T1430 Location Tracking GravityRAT tracks device location.
T1636.002 Protected User Data: Call Logs GravityRAT extracts call logs.
T1636.003 Protected User Data: Contact List GravityRAT extracts the contact list.
T1636.004 Protected User Data: SMS Messages GravityRAT extracts SMS messages.
Command and Control T1437.001 Application Layer Protocol: Web Protocols GravityRAT uses HTTPS to communicate with its C&C server.
Exfiltration T1646 Exfiltration Over C2 Channel GravityRAT exfiltrates data using HTTPS.
Impact T1641 Data Manipulation GravityRAT removes files with particular extensions from the device, and deletes all user call logs and the contact list.

 

 

Lukas Stefanko

×