Grupo BladeHawk: espionaje de Android contra etnia kurda


Los investigadores de ESET han investigado una campaña de espionaje móvil dirigida contra el grupo étnico kurdo, y que ha estado activa desde al menos marzo de 2020.

Los investigadores de ESET han investigado una campaña de espionaje móvil dirigida contra el grupo étnico kurdo. Esta campaña ha estado activa desde al menos marzo de 2020, distribuyendo (a través de perfiles dedicados de Facebook) dos puertas traseras de Android conocidas como 888 RAT y SpyNote, disfrazadas de aplicaciones legítimas. Estos perfiles parecían estar proporcionando noticias de Android en kurdo y noticias para los partidarios de los kurdos. Algunos de los perfiles difundieron deliberadamente aplicaciones de espionaje adicionales a grupos públicos de Facebook con contenido pro kurdo. Los datos de un sitio de descargas indican al menos 1.481 descargas de URL promocionadas en solo unas pocas publicaciones de Facebook.

El recientemente descubierto Android 888 RAT ha sido utilizado por el Kasablanka grupo y por BladeHawk. Ambos usaron nombres alternativos para referirse al mismo Android RAT: LodaRAT y Gaza007 respectivamente.

Espionaje BladeHawk Android

La actividad de espionaje informada aquí está directamente relacionada con dos en público divulgado casos publicados en 2020. QiAnXin Threat Intelligence Center nombró al grupo detrás de estos ataques BladeHawk, que hemos adoptado. Ambas campañas se distribuyeron a través de Facebook, utilizando malware creado con herramientas comerciales automatizadas (888 RAT y SpyNote), con todas las muestras del malware utilizando los mismos servidores C&C.

Distribución

Identificamos seis perfiles de Facebook como parte de esta campaña BladeHawk, compartiendo estas aplicaciones de espionaje de Android. Informamos estos perfiles a Facebook y todos han sido eliminados. Dos de los perfiles estaban dirigidos a usuarios de tecnología, mientras que los otros cuatro se hicieron pasar por partidarios kurdos. Todos estos perfiles se crearon en 2020 y poco después de su creación comenzaron a publicar estas aplicaciones falsas. Estas cuentas, excepto una, no han publicado ningún otro contenido además de las RAT de Android que se hacen pasar por aplicaciones legítimas.

Estos perfiles también son responsables de compartir aplicaciones de espionaje con grupos públicos de Facebook, la mayoría de los cuales eran partidarios de Masoud Barzani, ex presidente de la región del Kurdistán; se puede ver un ejemplo en la Figura 1. En total, los grupos objetivo tienen más de 11.000 seguidores.

Figura 1. Una de las publicaciones de Facebook

En un caso, detectamos un intento (Figura 2) de capturar las credenciales de Snapchat a través de un sitio web de phishing (Figura 3).

Figura 2. Publicación de Facebook que conduce a un sitio de phishing de Snapchat

Figura 3. Sitio web de phishing de Snapchat

Identificamos 28 publicaciones únicas como parte de esta campaña BladeHawk. Cada una de estas publicaciones contenía descripciones de aplicaciones falsas y enlaces para descargar una aplicación, y pudimos descargar 17 APK únicos de estos enlaces. Algunos de los enlaces web de APK apuntaban directamente a la aplicación maliciosa, mientras que otros apuntaban al servicio de carga de terceros top4top.io, que rastrea la cantidad de descargas de archivos (consulte la Figura 4). Por eso, obtuvimos el número total de descargas de top4top.io para esas ocho aplicaciones. Estas ocho aplicaciones se descargaron en total 1.481 veces, desde el 20 de julio de 2020 hasta el 28 de junio de 2021.

Figura 4. Información sobre una muestra de RAT alojada en un servicio de terceros

Muestras

Hasta donde sabemos, esta campaña se dirigió solo a usuarios de Android, y los actores de amenazas se centraron en dos herramientas comerciales de Android RAT: 888 RAT y SpyNote. Encontramos solo una muestra de este último durante nuestra investigación. Como se construyó utilizando un antiguo, ya analizado Constructor de SpyNote, aquí incluimos solo el análisis de las 888 muestras RAT.

Android 888 RAT

Este RAT comercial multiplataforma se publicó originalmente solo para el ecosistema de Windows por $ 80. En junio de 2018, se amplió en la versión Pro con la capacidad adicional para construir Android RAT ($ 150). Más tarde, la versión Extreme también podría crear cargas útiles de Linux ($ 200).

Se vendió a través del sitio web del desarrollador en 888-tools (.) Com (consulte la Figura 5).

Figura 5. Precio del 888 RAT

En 2019, la versión Pro (Windows y Android) se encontró rota (ver Figura 6) y disponible en algunos sitios web de forma gratuita.

Figura 6. Versión crackeada del constructor 888 RAT

888 RAT no se ha identificado directamente con ninguna campaña organizada antes; esta es la primera vez que se asigna esta RAT como indicador de un grupo de ciberespionaje.

Tras este descubrimiento, pudimos conectar el Android 888 RAT a dos campañas más organizadas: Spy TikTok Pro descrito aquí y una campaña por Kasablanka Group.

Funcionalidad

Android 888 RAT es capaz de ejecutar 42 comandos recibidos de su servidor C&C, como se ve en la Tabla 1.

En resumen, puede robar y eliminar archivos de un dispositivo, tomar capturas de pantalla, obtener la ubicación del dispositivo, suplantar credenciales de Facebook, obtener una lista de aplicaciones instaladas, robar fotos de usuarios, tomar fotos, grabar audio y llamadas telefónicas circundantes, hacer llamadas, robar SMS mensajes, robar la lista de contactos del dispositivo, enviar mensajes de texto, etc.

El constructor también se usa como C&C para controlar todos los dispositivos comprometidos, ya que usa DNS dinámico para ser alcanzado por ellos.

Tabla 1. Lista de comandos admitidos

Mando Funcionalidad
Unistxcr Mostrar detalles de la aplicación de la aplicación especificada
dowsizetr Subir archivo al servidor desde /sdcard/DCIM/.dat/
DOWdeletx Eliminar archivo de /sdcard/DCIM/.dat/
Xr7aou Subir archivo binario al servidor desde /sdcard/DCIM/.dat/
Caspylistx Listar archivos de /sdcard/DCIM/.dat/
spxcheck Compruebe si el servicio de grabación de llamadas se está ejecutando
S8p8y0 Detener el servicio de grabación de llamadas
Sxpxy1 Habilitar el servicio de grabación de llamadas
screXmex Tome una captura de pantalla y cárguela en el servidor
Batrxiops Obtener nivel de batería
L4oclOCMAWS Obtener la ubicación del dispositivo
FdelSRRT Borrar archivo /sdcard/DCIM/.fdat (credenciales de Facebook suplantadas)
chkstzeaw Compruebe si la aplicación de Facebook está instalada
IODBSSUEEZ Cargue las credenciales de Facebook a C&C desde /sdcard/DCIM/.fdat
GUIFXB Lanzar actividad de phishing en Facebook
osEEs Obtenga los permisos solicitados de la aplicación especificada
LUNAPXER Lanzar aplicación específica
Gapxplister Obtener la lista de aplicaciones instaladas en el dispositivo
DOTRall8xxe Comprimir archivos en /sdcard/DCIM/.dat/ directorio y subirlos a C&C
Acouxacour Obtener todas las cuentas de dispositivos
Fimxmiisx Tome una foto de la cámara y cárguela en C&C
Scxreexcv4 Obtener información sobre las cámaras de los dispositivos
micmokmi8x Grabe el audio circundante durante el tiempo especificado
DTXXTEGE3 Eliminar archivo específico de /tarjeta SD directorio
ODDSEe Abrir URL específica en el navegador predeterminado
Yufsssp Obtener información Exif de un archivo multimedia específico
getsssspo Obtener información sobre si existe un archivo específico en el dispositivo
DXCXIXM Obtenga los nombres de todas las fotos almacenadas en / sdcard / DCIM /
f5iledowqqww Subir archivo específico desde /tarjeta SD/ directorio
GExCaalsss7 Obtener registros de llamadas del dispositivo
SDgex8se Lista de archivos de un directorio específico de /tarjeta SD
PHOCAs7 Hacer una llamada al número especificado
Gxextsxms Obtener bandeja de entrada de SMS
Msppossag Enviar mensaje SMS al número especificado
Getconstactx Obtener contactos
Rinxgosa Reproducir tono de llamada durante seis segundos
Shetermix Ejecutar comando de shell
bithsssp64 Ejecutar script de shell
Deldatall8 Limpieza, eliminar todo /sdcard/DCIM/.dat archivos
pvvvoze Obtener la dirección IP
paltexw Obtener TTL del comando PING
M0xSSw9 Mostrar un mensaje Toast específico al usuario

Un factor importante al identificar 888 RAT es el nombre del paquete de la carga útil. El nombre del paquete de cada compilación de una carga útil de Android no es personalizado ni aleatorio; siempre usa el com.example.dat.a8andoserverx ID del paquete. Debido a esto, es fácil identificar muestras como 888 RAT.

En versiones posteriores del 888 RAT (no el constructor RAT agrietado), notamos que el constructor era capaz de ofuscar cadenas (cadenas de comandos, C&C y otras cadenas de texto sin formato) cifrándolas usando AES con una clave codificada; sin embargo, el nombre del paquete sigue siendo el mismo.

C&C

888 RAT utiliza un puerto y un protocolo IP personalizados (no es necesario que sean puertos estándar). Los dispositivos comprometidos se controlan directamente desde la GUI del constructor.

Phishing de Facebook

Cuando se activa esta funcionalidad, 888 RAT desplegará actividad de phishing que parece provenir de la aplicación legítima de Facebook. Cuando el usuario toca el botón de aplicaciones recientes, esta actividad parecerá legítima, como se ve en la Figura 7. Sin embargo, después de una pulsación larga en el icono de esta aplicación, como en la Figura 8, se revela el verdadero nombre de la aplicación responsable de la solicitud de inicio de sesión de Facebook. .

Figura 7. Solicitud de phishing visible desde el menú de la aplicación reciente

Figura 8. Nombre real de la aplicación responsable del phishing

Detección

Desde 2018, los productos de ESET han identificado cientos de instancias de dispositivos Android donde se implementó el 888 RAT. La Figura 9 presenta la distribución por países de estos datos de detección.

Figura 9. Detección de Android 888 RAT por país

Conclusión

Esta campaña de espionaje lleva activa desde marzo de 2020 y tiene como objetivo únicamente los dispositivos Android. Apuntó al grupo étnico kurdo a través de al menos 28 publicaciones maliciosas en Facebook que llevarían a las víctimas potenciales a descargar Android 888 RAT o SpyNote. La mayoría de las publicaciones maliciosas de Facebook dieron lugar a descargas del 888 RAT comercial multiplataforma, que ha estado disponible en el mercado negro desde 2018. En 2019, una copia descifrada de la versión Pro del constructor 888 RAT estuvo disponible en algunos sitios web. y, desde entonces, detectamos cientos de casos en todo el mundo utilizando Android 888 RAT.

IoC

Archivos y nombres de detección de ESET

SHA-1 Nombre de la detección
87D44633F99A94C9B5F29F3FE75D04B2AB2508BA Android / Spy.Agent.APU
E47AB984C0EC7872B458AAD803BE637F3EE6F3CA Android / Spy.Agent.APG
9A8E5BAD246FC7B3D844BB434E8F697BE4A7A703 Android / Spy.Agent.APU
FED42AB6665649787C6D6164A6787B13513B4A41 Android / Spy.Agent.APU
8E2636F690CF67F44684887EB473A38398234430 Android / Spy.Agent.APU
F0751F2715BEA20A6D5CD7E9792DBA0FA45394A5 Android / Spy.Agent.APU
60280E2F6B940D5CBDC3D538E2B83751DB082F46 Android / Spy.Agent.APU
F26ADA23739366B9EBBF08BABD5000023921465C Android / Spy.Agent.APU
4EBEED1CFAC3FE5A290FA5BF37E6C6072A6869A7 Android / Spy.Agent.APU
A15F67430000E3F6B88CD965A01239066C0D23B3 Android / Spy.Agent.BII
425AC620A0BB584D59303A62067CC6663C76A65D Android / Spy.Agent.APU
4159E3A4BD99067A5F8025FC59473AC53E07B213 Android / Spy.Agent.APU
EF9D9BF1876270393615A21AB3917FCBE91BFC60 Android / Spy.Agent.APU
231296E505BC40FFE7D308D528A3664BFFF069E4 Android / Spy.Agent.APU
906AD75A05E4581A6D0E3984AD0E6524C235A592 Android / Spy.Agent.APU
43F36C86BBD370884E77DFD496FD918A2D9E023D Android / Spy.Agent.APU
8B03CE129F6B1A913B6B143BB883FC79C2DF1904 Android / Spy.Agent.APU

Perfiles de Facebook

https: //www.facebook (.) com / android4kurd.official /
https: //www.facebook (.) com / tech.info00
https: //www.facebook (.) com / hewr.dliwar
https: //www.facebook (.) com / husain.techno
https: //www.facebook (.) com / zaid.abd.3785
https: //www.facebook (.) com / profile.php? id = 100039915424311

Grupos de Facebook

https: //www.facebook (.) com / groups / 478454429578545 /
https: //www.facebook (.) com / groups / 275108075847240 /
https: //www.facebook (.) com / groups / 751242802375989 /
https: //www.facebook (.) com / groups / 238330163213092 /

Vínculos de distribución

https: // apkup (.) xyz / M.Muhammad.Mala.Fayaq_v0.0.6.apk
https: // apkup (.) xyz / 5G.VPN.Speed_v1.3.4.apk
https: // apkup (.) xyz / Ftwa.Islam.Online_v1.0.1.apk
https: // apkup (.) xyz / Al-Hashd_V1.0.3.apk
https: // apkup (.) xyz / KitabAltawhid_v1.0.4.apk
https: // apkup (.) xyz / KDP._V1.2.0.apk
https: // apkup (.) xyz / Dosyay16October_V1.2.0.apk
https: // apkup (.) xyz / MobileNumberFinder__v1.3.apk
https: //f.top4top (.) io / f_LusheAYOtmjzehyF8seQcA / 1613135449 / 1662yvch41.apk
https: //a.top4top (.) io / f_Jlno8C2DLeaq71Fq1JV6hg / 1613565568 / 1837ppxen1.apk
https: //b.top4top (.) io / f_yTmhbte0yVNbhQbKyh12og / 1613135036 / 1665tzq3x1.apk
https: //j.top4top (.) io / f_FQCcQa5qAWHzK_0NdcGWyg / 1613134993 / 16874mc5b1.apk
https: //l.top4top (.) io / f_MHfW2u_xnKoXdhjPknEx5Q / 1613134914 / 1703t5b2z1.apk
https: //b.top4top (.) io / f_cbXNkHR0T0ZOsTecrGM6iA / 1613134863 / 1703lttbn1.apk
https: //k.top4top (.) io / f_bznLRhgqMpAmWXYp1LLrNQ / 1613134409 / 1690q040d1.apk
https: //d.top4top (.) io / f_t7G4JjYm7_kzTsa0XYis6Q / 1613134182 / 1749lglct1.apk
https: // up4net (.) com / uploads / up4net-Xwakurk-1-0-4.apk

Enlaces de phishing

https: // apkup (.) xyz / snapchat / login.html

Técnicas MITRE ATT & CK

Esta tabla solo cubre los TTP para 888 RAT y se creó utilizando versión 9 del marco ATT & CK.

Táctica IDENTIFICACIÓN Nombre Descripción
Acceso inicial T1444 Enmascarar como aplicación legítima El 888 RAT se hace pasar por aplicaciones legítimas.
Persistencia T1402 Receptores de difusión El 888 RAT escucha la transmisión BOOT_COMPLETED, lo que garantiza que la funcionalidad de la aplicación se active cada vez que se inicie el dispositivo.
Evasión de defensa T1508 Suprimir el icono de la aplicación El 888 RAT oculta su icono.
T1447 Eliminar datos del dispositivo El 888 RAT puede eliminar archivos recopilados y almacenados temporalmente y cualquier otro archivo específico.
Acceso a credenciales T1411 Solicitud de entrada El 888 RAT intenta suplantar las credenciales de Facebook.
Descubrimiento T1418 Descubrimiento de aplicaciones El 888 RAT obtiene una lista de aplicaciones instaladas.
T1420 Descubrimiento de archivos y directorios El 888 RAT identifica el contenido de directorios específicos.
Colección T1433 Acceder al registro de llamadas El 888 RAT extrae el historial de registro de llamadas.
T1430 Seguimiento de ubicación El 888 RAT recupera la ubicación del dispositivo.
T1432 Acceder a la lista de contactos El 888 RAT exfiltra la lista de contactos de la víctima.
T1429 Capturar audio El 888 RAT puede grabar audio de alrededores y llamadas.
T1512 Capturar cámara El 888 RAT puede tomar fotografías de las cámaras delantera o trasera.
T1412 Capturar mensajes SMS El 888 RAT puede filtrar los mensajes SMS enviados y recibidos.
T1533 Datos del sistema local El 888 RAT extrae archivos con extensiones particulares de medios externos.
T1513 La captura de pantalla El 888 RAT puede tomar capturas de pantalla.
Comando y control T1509 Puerto poco utilizado El 888 RAT se comunica con su C&C a través del puerto 4000.
Impacto T1582 Control de SMS El adversario del 888 RAT puede enviar mensajes SMS.
T1447 Eliminar datos del dispositivo El 888 RAT puede eliminar archivos especificados por el atacante del dispositivo.



Enlace a la noticia original