ESET-Forscher haben zwölf Android-Spionage-Apps identifiziert, die denselben Schadcode enthalten: sechs waren bei Google Play verfügbar und sechs wurden auf VirusTotal gefunden. Alle beobachteten Anwendungen wurden als Messaging-Tools beworben, bis auf eine, die sich als Nachrichten-App ausgab. Im Hintergrund führen diese Anwendungen heimlich einen Remote-Access-Trojaner (RAT) namens VajraSpy aus, der von der Patchwork APT-Gruppe für gezielte Spionage eingesetzt wird.

VajraSpy verfügt über eine Reihe von Spionagefunktionen, die je nach den Berechtigungen, die der mit seinem Code gebündelten App gewährt werden, erweitert werden können. Es stiehlt Kontakte, Dateien, Anrufprotokolle und SMS-Nachrichten, aber einige seiner Implementierungen können sogar WhatsApp- und Signal-Nachrichten extrahieren, Telefongespräche aufzeichnen und Bilder mit der Kamera aufnehmen.

Unseren Recherchen zufolge zielt diese Patchwork APT-Kampagne vor allem auf Nutzer in Pakistan ab.

Die wichtigsten Punkte des Berichts:
  • Wir haben eine neue Cyberspionage-Kampagne entdeckt, die wir mit hoher Wahrscheinlichkeit der Patchwork APT-Gruppe zuschreiben.
  • Die Kampagne nutzte Google Play, um sechs bösartige Apps zu verbreiten, die mit dem VajraSpy RAT-Code gebündelt waren. Sechs weitere wurden in freier Wildbahn verbreitet.
  • Die Apps auf Google Play wurden über 1.400 Mal installiert und sind immer noch in alternativen App-Stores verfügbar.
  • Dank der mangelhaften operativen Sicherheit einer der Apps konnten wir 148 kompromittierte Geräte geografisch lokalisieren.

Übersicht

Im Januar 2023 entdeckten wir eine trojanisierte Nachrichten-App namens Rafaqat رفاقت (das Urdu-Wort bedeutet übersetzt "Gemeinschaft"), die zum Diebstahl von Nutzerdaten verwendet wurde. Bei weiteren Nachforschungen wurden mehrere weitere Anwendungen mit demselben Schadcode wie Rafaqat رفاقت entdeckt. Einige dieser Anwendungen hatten das gleiche Entwicklerzertifikat und die gleiche Benutzeroberfläche. Insgesamt analysierten wir 12 trojanisierte Apps, von denen sechs (einschließlich Rafaqat رفاقت) auf Google Play verfügbar waren und sechs in freier Wildbahn gefunden wurden. Die sechs bösartigen Apps, die auf Google Play verfügbar waren, wurden insgesamt mehr als 1.400 Mal heruntergeladen.

Unsere Untersuchungen ergaben, dass die Bedrohungsakteure, die hinter den trojanisierten Apps stehen, wahrscheinlich eine "Honigfalle"-Romantikmasche verwendeten, um ihre Opfer zur Installation der Malware zu verleiten.

Alle Apps, die zu irgendeinem Zeitpunkt auf Google Play verfügbar waren, wurden zwischen April 2021 und März 2023 dort hochgeladen. Die erste der Apps war Privee Talk, die am 1. April 2021 hochgeladen wurde und etwa 15 Installationen erreichte. Im Oktober 2022 folgten dann MeetMe, Let's Chat, Quick Chat und Rafaqat رفاق, die insgesamt über 1.000 Mal installiert wurden. Die letzte auf Google Play verfügbare App war Chit Chat, die im März 2023 erschien und mehr als 100 Installationen erreichte.

Die Apps haben mehrere Gemeinsamkeiten: Die meisten sind Messaging-Anwendungen und alle sind mit dem VajraSpy RAT-Code gebündelt. MeetMe und Chit Chat verwenden eine identische Benutzeroberfläche für die Anmeldung - siehe Abbildung 1. Außerdem wurden die Anwendungen Hello Chat (nicht im Google Play Store verfügbar) und Chit Chat mit demselben eindeutigen Entwicklerzertifikat signiert (SHA-1-Fingerprint: 881541A1104AEDC7CEE504723BD5F63E15DB6420), was bedeutet, dass sie vom selben Entwickler erstellt wurden.

VajraSpy – Figure 1
Abbildung 1. Anmeldebildschirm von Hello Chat (links) und MeetMe und Chit Chat (rechts)

Neben den Anwendungen, die früher auf Google Play verfügbar waren, wurden sechs weitere Messaging-Anwendungen auf VirusTotal hochgeladen. Chronologisch gesehen war YohooTalk die erste, die dort im Februar 2022 auftauchte. Die TikTalk-App tauchte Ende April 2022 auf VirusTotal auf - fast unmittelbar danach teilte das MalwareHunterTeam auf X (ehemals Twitter) die App mit der Domain, auf der sie zum Download bereitstand (fich[.]buzz). Hello Chat wurde im April 2023 hochgeladen. Nidus und GlowChat wurden dort im Juli 2023 hochgeladen, und Wave Chat im September 2023. Diese sechs trojanisierten Anwendungen enthalten denselben bösartigen Code wie die bei Google Play gefundenen.

Abbildung 2 zeigt das Datum, an dem jede Anwendung entweder auf Google Play oder als Beispiel auf VirusTotal verfügbar wurde.

VajraSpy - Figure 2
Abbildung 2. Zeitleiste mit den Daten, an denen die trojanisierten Anwendungen verfügbar wurden

ESET ist Mitglied der App Defense Alliance und aktiver Partner des Programms zur Malware-Bekämpfung, das darauf abzielt, potenziell schädliche Anwendungen (Potentially Harmful Applications, PHAs) schnell zu finden und sie zu stoppen, bevor sie überhaupt auf Google Play erscheinen.

Als Partner der Google App Defense Alliance identifizierte ESET Rafaqat رفاقت als bösartig und teilte diese Erkenntnisse umgehend mit Google. Zu diesem Zeitpunkt war Rafaqat رفاقت bereits aus dem Store entfernt worden. Andere Apps wurden zum Zeitpunkt der Weitergabe des Samples an uns gescannt und nicht als bösartig eingestuft. Alle in dem Bericht identifizierten Apps, die bei Google Play angeboten wurden, sind nicht mehr im Play Store erhältlich.

Viktimologie

Obwohl die ESET-Telemetriedaten nur Erkennungen aus Malaysia registrierten, glauben wir, dass diese nur zufällig waren und nicht die eigentlichen Ziele der Kampagne darstellten. Während unserer Untersuchung führte eine Sicherheitslücke in einer der Apps dazu, dass einige Opferdaten aufgedeckt wurden, was uns ermöglichte, 148 kompromittierte Geräte in Pakistan und Indien zu lokalisieren. Diese waren wahrscheinlich die eigentlichen Ziele der Angriffe.

Ein weiterer Hinweis, der auf Pakistan hindeutet, ist der Name des Entwicklers, der für den Google Play-Eintrag der Rafaqat رفاقت-App verwendet wurde. Die Bedrohungsakteure benutzten den Namen Mohammad Rizwan, der auch der Name eines der beliebtesten Kricketspielers aus Pakistan ist. Bei Rafaqat رفاقت und einigen weiteren dieser trojanisierten Apps war auf dem Anmeldebildschirm standardmäßig die pakistanische Landesvorwahl ausgewählt. Laut Google Translate bedeutet رفاقت auf Urdu"Gemeinschaft". Urdu ist eine der Landessprachen in Pakistan.

Wir gehen davon aus, dass die Opfer über eine "Honigfalle" angesprochen wurden, bei der die Betreiber der Kampagne auf einer anderen Plattform romantisches und/oder sexuelles Interesse an ihren Zielpersonen vortäuschten und sie dann überzeugten, diese trojanisierten Apps herunterzuladen.

Attribution zu Patchwork

Der bösartige Code, der von den Apps ausgeführt wird, wurde erstmals im März 2022 von QiAnXin entdeckt. Sie nannten ihn VajraSpy und schrieben ihn APT-Q-43 zu. Diese APT-Gruppe zielt hauptsächlich auf diplomatische und staatliche Einrichtungen ab.

Im März 2023 veröffentlichte Meta einen Bericht über die Bedrohungslage im ersten Quartal, der unter anderem die Taktiken, Techniken und Verfahren (TTPs) verschiedener APT-Gruppen enthält. Der Bericht enthält das von der APT-Gruppe Patchwork verwendete Vorgehen, das aus gefälschten Social-Media-Konten, Android-Malware-Hashes und einem Verbreitungsvektor besteht. Der Abschnitt "Threat indicators" des Berichts enthält Samples, die von QiAnXin mit denselben Verbreitungsdomänen analysiert und gemeldet wurden.

Im November 2023 veröffentlichte Qihoo 360 unabhängig einen Artikel, der die von Meta und diesem Bericht beschriebenen bösartigen Apps mit der VajraSpy-Malware in Verbindung brachte, die von Fire Demon Snake (APT-C-52), einer neuen APT-Gruppe, betrieben wird.

Unsere Analyse dieser Apps ergab, dass sie alle den gleichen Schadcode aufweisen und zur gleichen Malware-Familie, VajraSpy, gehören. Der Bericht von Meta enthält umfassendere Informationen, die Meta einen besseren Einblick in die Kampagnen und mehr Daten zur Identifizierung der APT-Gruppe geben könnten. Aus diesem Grund haben wir VajraSpy der Patchwork APT-Gruppe zugeordnet.

Technische Analyse

VajraSpy ist ein anpassbarer Trojaner, der in der Regel als Messaging-Anwendung getarnt ist und dazu dient, Benutzerdaten zu exfiltrieren. Uns ist aufgefallen, dass die Malware in allen beobachteten Fällen dieselben Klassennamen verwendet, unabhängig davon, ob es sich um die von ESET oder von anderen Forschern gefundenen Beispiele handelt.

Zur Veranschaulichung zeigt Abbildung 3 einen Vergleich der bösartigen Klassen von Varianten der VajraSpy-Malware. Der Screenshot auf der linken Seite ist eine Liste der bösartigen Klassen, die in der von Meta entdeckten Click App gefunden wurden, der Screenshot in der Mitte zeigt die bösartigen Klassen in MeetMe (entdeckt von ESET), und der Screenshot auf der rechten Seite zeigt die bösartigen Klassen in WaveChat, einer bösartigen App, die in freier Wildbahn gefunden wurde. Alle Anwendungen haben die gleichen Worker-Klassen, die für die Datenexfiltration verantwortlich sind.

VajraSpy – Figure 3
Abbildung 3. Die gleichen bösartigen Klassen in den Anwendungen Click (links), MeetMe (Mitte) und WaveChat (rechts)

Abbildung 4 und Abbildung 5 zeigen den Code, der für das Exfiltrieren von Benachrichtigungen aus der im Meta-Bericht erwähnten Crazy Talk-App bzw. der Nidus-App verantwortlich ist.

VajraSpy – Figure 4
Abbildung 4. Code, der für das Abfangen von Benachrichtigungen in der Crazy Talk-App verantwortlich ist
VajraSpy – Figure 5
Abbildung 5. Code, der für das Abfangen von Benachrichtigungen in der Nidus-App verantwortlich ist

Der Umfang der bösartigen Funktionen von VajraSpy variiert je nach den der trojanisierten Anwendung gewährten Berechtigungen.

Zur einfacheren Analyse haben wir die trojanisierten Anwendungen in drei Gruppen unterteilt.

Gruppe 1: trojanisierte Messaging-Anwendungen mit grundlegenden Funktionen

Die erste Gruppe umfasst alle trojanisierten Messaging-Anwendungen, die früher auf Google Play verfügbar waren, d. h. MeetMe, Privee Talk, Let's Chat, Quick Chat, GlowChat und Chit Chat. Dazu gehört ebenfalls Hello Chat, das nicht auf Google Play verfügbar war.

Alle Anwendungen in dieser Gruppe bieten standardmäßige Messaging-Funktionen, erfordern jedoch zunächst die Erstellung eines Kontos durch den Benutzer. Die Erstellung eines Kontos hängt von der Verifizierung der Telefonnummer über einen einmaligen SMS-Code ab - wenn die Telefonnummer nicht verifiziert werden kann, wird das Konto nicht erstellt. Ob das Konto erstellt wird oder nicht, ist für die Malware jedoch weitgehend irrelevant, da VajraSpy in jedem Fall ausgeführt wird. Ein möglicher Nutzen der Verifizierung der Telefonnummer durch das Opfer könnte darin bestehen, dass die Bedrohungsakteure die Landesvorwahl ihres Opfers erfahren, aber das ist nur eine Spekulation unsererseits.

Diese Anwendungen verfügen über dieselben bösartigen Funktionen und sind in der Lage, Folgendes zu exfiltrieren:

  • Kontakte,
  • SMS-Nachrichten,
  • Anrufprotokolle,
  • den Standort des Geräts,
  • eine Liste der installierten Anwendungen und
  • Dateien mit bestimmten Erweiterungen (.pdf, .doc, .docx, .txt,.ppt, .pptx, .xls, .xlsx, .jpg, .jpeg, .png, .mp3, .Om4a, .aac, und .opus).

Einige der Anwendungen können ihre Berechtigungen ausnutzen, um auf Benachrichtigungen zuzugreifen. Wenn eine solche Berechtigung erteilt wird, kann VajraSpy empfangene Nachrichten von jeder Messaging-Anwendung, einschließlich SMS-Nachrichten, abfangen.

Abbildung 6 zeigt eine Liste der Dateierweiterungen, die VajraSpy von einem Gerät exfiltrieren kann.

VajraSpy – Figure 6
Abbildung 6. Dateierweiterungen der exfiltrierten Dateien

Die Betreiber hinter den Angriffen nutzten Firebase Hosting, einen Web-Content-Hosting-Dienst, als C&C-Server. Der Server diente nicht nur als C&C, sondern wurde auch zum Speichern der Kontoinformationen der Opfer und zum Austausch von Nachrichten verwendet. Wir meldeten den Server an Google, den Betreibern von Firebase.

Gruppe 2: trojanisierte Messaging-Anwendungen mit fortgeschrittenen Funktionalitäten

Gruppe zwei besteht aus TikTalk, Nidus, YohooTalk und Wave Chat sowie den in anderen Forschungsarbeiten beschriebenen Fällen von VajraSpy-Malware, wie z. B. Crazy Talk (behandelt von Meta und QiAnXin).

Wie bei den Anwendungen der ersten Gruppe wird das potenzielle Opfer aufgefordert, ein Konto zu erstellen und seine Telefonnummer mit einem einmaligen SMS-Code zu verifizieren. Das Konto wird nicht erstellt, wenn die Telefonnummer nicht verifiziert ist, aber VajraSpy wird trotzdem ausgeführt.

Die Apps dieser Gruppe verfügen über erweiterte Funktionen im Vergleich zu denen der ersten Gruppe. Zusätzlich zu den Funktionen der ersten Gruppe sind diese Apps in der Lage, die integrierten Zugriffsoptionen zu nutzen, um die Kommunikation über WhatsApp, WhatsApp Business und Signal abzufangen. VajraSpy protokolliert jede sichtbare Kommunikation von diesen Apps in der Konsole und in der lokalen Datenbank und lädt sie anschließend auf den in Firebase gehosteten C&C-Server hoch. Zur Veranschaulichung zeigt Abbildung 7, wie die Malware die WhatsApp-Kommunikation in Echtzeit protokolliert.

VajraSpy – Figure 7
Abbildung 7. Der Benutzer hat einen WhatsApp-Chat geöffnet (links), und VajraSpy hat den gesamten sichtbaren Text aufgezeichnet und mitgeschnitten (rechts)

Darüber hinaus ermöglichen ihre erweiterten Funktionen das Ausspionieren von Chat-Kommunikation und das Abfangen von Benachrichtigungen. Alles in allem sind die Apps der Gruppe 2 in der Lage, zusätzlich zu den Informationen, die von den Apps der Gruppe 1 exfiltriert werden können, Folgendes zu exfiltrieren:

  • empfangene Benachrichtigungen und
  • ausgetauschte Nachrichten in WhatsApp, WhatsApp Business und Signal.

Eine der Apps in dieser Gruppe, Wave Chat, verfügt über noch mehr bösartige Fähigkeiten als die, die wir bereits behandelt haben. Außerdem verhält sie sich beim ersten Start anders und fordert den Benutzer auf, Zugangsdienste zuzulassen. Sobald diese Dienste zugelassen sind, aktivieren sie automatisch alle erforderlichen Berechtigungen im Namen des Benutzers und erweitern so den Zugriff von VajraSpy auf das Gerät. Zusätzlich zu den bereits erwähnten bösartigen Funktionen kann Wave Chat auch:

  • Telefongespräche aufzeichnen,
  • Anrufe von WhatsApp, WhatsApp Business, Signal und Telegram aufzeichnen,
  • Tastenanschläge protokollieren,
  • Bilder mit der Kamera aufnehmen,
  • Umgebungsgeräusche aufzeichnen und
  • nach Wi-Fi-Netzwerken suchen.

Wave Chat kann einen C&C-Befehl zur Aufnahme eines Bildes mit der Kamera und einen weiteren Befehl zur Audioaufzeichnung erhalten, entweder für 60 Sekunden (standardmäßig) oder für die in der Serverantwort angegebene Zeitspanne. Die aufgenommenen Daten werden dann über POST-Anfragen an den C&C weitergeleitet.

Für den Empfang von Befehlen und die Speicherung von Benutzernachrichten, SMS-Nachrichten und der Kontaktliste verwendet Wave Chat einen Firebase-Server. Für andere exfiltrierte Daten werden ein anderer C&C-Server und ein Client verwendet, der auf einem Open-Source-Projekt namens Retrofit basiert. Retrofit ist ein Android-REST-Client in Java, der das Abrufen und Hochladen von Daten über einen REST-basierten Webdienst erleichtert. VajraSpy verwendet ihn, um Benutzerdaten unverschlüsselt über HTTP auf den C&C-Server hochzuladen.

Gruppe 3: Anwendungen, die keine Nachrichten versenden

Bislang ist die einzige Anwendung, die zu dieser Gruppe gehört, diejenige, die den Anstoß zu dieser Untersuchung gegeben hat - Rafaqat رفاقت. Es ist die einzige VajraSpy-Anwendung, die nicht für Messaging verwendet wird, sondern angeblich dazu dient, die neuesten Nachrichten zu liefern. Da Nachrichten-Apps keine weiterreichenden Berechtigungen wie den Zugriff auf SMS-Nachrichten oder Anrufprotokolle anfordern müssen, sind die bösartigen Fähigkeiten von Rafaqat رفاقت im Vergleich zu den anderen analysierten Anwendungen begrenzt.

Rafaqat رفاقت wurde am 26. Oktober 2022 von einem Entwickler mit dem Namen Mohammad Rizwan, dem Namen eines der beliebtesten pakistanischen Kricketspieler, in Google Play hochgeladen. Die Anwendung erreichte über tausend Installationen, bevor sie aus dem Google Play Store entfernt wurde.

Interessanterweise reichte derselbe Entwickler einige Wochen vor dem Erscheinen von Rafaqat رفاقت zwei weitere Apps mit identischem Namen und bösartigem Code zum Hochladen in Google Play ein. Diese beiden Apps wurden jedoch nicht auf Google Play veröffentlicht.

Der Anmeldeschirm der App mit vorgewähltem pakistanischen Ländercode ist in Abbildung 8 zu sehen.

VajraSpy – Figure 8
Abbildung 8. Anmeldebildschirm für die Rafaqat رفاقت-App

Obwohl die App beim Start eine Anmeldung mit einer Telefonnummer verlangt, ist keine Nummernüberprüfung implementiert, d. h. der Benutzer kann sich mit einer beliebigen Telefonnummer anmelden.

Rafaqat رفاقت kann Benachrichtigungen abfangen und Folgendes exfiltrieren:

  • Kontakte, und
  • Dateien mit bestimmten Erweiterungen (.pdf.doc.docx.txt,.ppt.pptx.xls.xlsx.jpg.jpeg.png.mp3.Om4a.aac, und .opus).

Abbildung 9 zeigt die Exfiltration einer empfangenen SMS-Nachricht unter Verwendung der Berechtigung zum Zugriff auf Benachrichtigungen.

VajraSpy – Figure 9
Abbildung 9. Exfiltration einer Benutzerbenachrichtigung (für eine empfangene SMS-Nachricht)

Zusammenfassung

ESET Research hat eine Spionagekampagne entdeckt, bei der mit VajraSpy-Malware gebündelte Apps verwendet wurden, die mit hoher Wahrscheinlichkeit von der Patchwork APT-Gruppe durchgeführt wurde. Einige Apps wurden über Google Play verbreitet und zusammen mit anderen auch in freier Wildbahn gefunden. Den vorliegenden Zahlen zufolge wurden die bösartigen Apps, die früher bei Google Play verfügbar waren, mehr als 1.400 Mal heruntergeladen. Eine Sicherheitslücke in einer der Apps deckte außerdem 148 kompromittierte Geräte auf.

Mehrere Indikatoren deuten darauf hin, dass die Kampagne hauptsächlich auf pakistanische Nutzer abzielte: Rafaqat رفاقت, eine der bösartigen Apps, verwendete den Namen eines beliebten pakistanischen Kricketspielers als Entwicklernamen auf Google Play. Die Apps, die bei der Kontoerstellung eine Telefonnummer verlangten, hatten standardmäßig die pakistanische Landesvorwahl ausgewählt, und viele der durch die Sicherheitslücke entdeckten kompromittierten Geräte befanden sich in Pakistan.

Um ihre Opfer anzulocken, nutzten die Bedrohungsakteure wahrscheinlich gezielte "Honigfallen"-Romantikbetrügereien, indem sie die Opfer zunächst auf einer anderen Plattform kontaktierten und sie dann überzeugten, zu einer trojanisierten Chat-Anwendung zu wechseln. Dies wurde auch in der Qihoo 360-Studie berichtet, in der die Bedrohungsakteure die Kommunikation mit den Opfern zunächst über Facebook Messenger und WhatsApp begannen und dann zu einer trojanisierten Chat-Anwendung wechselten.

Cyberkriminelle setzen Social Engineering als mächtige Waffe ein. Wir raten dringend davon ab, auf Links zum Herunterladen einer Anwendung zu klicken, die in einer Chat-Konversation gesendet werden. Es kann schwierig sein, gegen falsche romantische Annäherungsversuche immun zu bleiben, aber es lohnt sich, immer wachsam zu sein.

Wenn Sie Fragen zu unseren auf WeLiveSecurity veröffentlichten Untersuchungen haben, kontaktieren Sie uns bitte unter threatintel@eset.com.
ESET Research bietet private APT Intelligence Reports und Datenfeeds an. Wenn Sie Fragen zu diesem Service haben, besuchen Sie die ESET Threat Intelligence Seite.

IoCs

Dateien

SHA-1

Package name

ESET detection name

Description

BAF6583C54FC680AA6F71F3B694E71657A7A99D0

com.hello.chat

Android/Spy.VajraSpy.B

VajraSpy trojan.

846B83B7324DFE2B98264BAFAC24F15FD83C4115

com.chit.chat

Android/Spy.VajraSpy.A

VajraSpy trojan.

5CFB6CF074FF729E544A65F2BCFE50814E4E1BD8

com.meeete.org

Android/Spy.VajraSpy.A

VajraSpy trojan.

1B61DC3C2D2C222F92B84242F6FCB917D4BC5A61

com.nidus.no

Android/Spy.Agent.BQH

VajraSpy trojan.

BCD639806A143BD52F0C3892FA58050E0EEEF401

com.rafaqat.news

Android/Spy.VajraSpy.A

VajraSpy trojan.

137BA80E443610D9D733C160CCDB9870F3792FB8

com.tik.talk

Android/Spy.VajraSpy.A

VajraSpy trojan.

5F860D5201F9330291F25501505EBAB18F55F8DA

com.wave.chat

Android/Spy.VajraSpy.C

VajraSpy trojan.

3B27A62D77C5B82E7E6902632DA3A3E5EF98E743

com.priv.talk

Android/Spy.VajraSpy.C

VajraSpy trojan.

44E8F9D0CD935D0411B85409E146ACD10C80BF09

com.glow.glow

Android/Spy.VajraSpy.A

VajraSpy trojan.

94DC9311B53C5D9CC5C40CD943C83B71BD75B18A

com.letsm.chat

Android/Spy.VajraSpy.A

VajraSpy trojan.

E0D73C035966C02DF7BCE66E6CE24E016607E62E

com.nionio.org

Android/Spy.VajraSpy.C

VajraSpy trojan.

235897BCB9C14EB159E4E74DE2BC952B3AD5B63A

com.qqc.chat

Android/Spy.VajraSpy.A

VajraSpy trojan.

8AB01840972223B314BF3C9D9ED3389B420F717F

com.yoho.talk

Android/Spy.VajraSpy.A

VajraSpy trojan.

Netzwerk

IP

Domain

Hosting provider

First seen

Details

34.120.160[.]131

hello-chat-c47ad-default-rtdb.firebaseio[.]com

chit-chat-e9053-default-rtdb.firebaseio[.]com

meetme-abc03-default-rtdb.firebaseio[.]com

chatapp-6b96e-default-rtdb.firebaseio[.]com

tiktalk-2fc98-default-rtdb.firebaseio[.]com

wave-chat-e52fe-default-rtdb.firebaseio[.]com

privchat-6cc58-default-rtdb.firebaseio[.]com

glowchat-33103-default-rtdb.firebaseio[.]com

letschat-5d5e3-default-rtdb.firebaseio[.]com

quick-chat-1d242-default-rtdb.firebaseio[.]com

yooho-c3345-default-rtdb.firebaseio[.]com

Google LLC

2022-04-01

VajraSpy C&C servers

35.186.236[.]207

rafaqat-d131f-default-rtdb.asia-southeast1.firebasedatabase[.]app

Google LLC

2023-03-04

VajraSpy C&C server

160.20.147[.]67

N/A

aurologic GmbH

2021-11-03

VajraSpy C&C server

MITRE ATT&CK-Techniken

Diese Tabelle wurde mit der Version 14 des MITRE ATT&CK Frameworks erstellt.

Tactic

ID

Name

Description

Persistence

T1398

Boot or Logon Initialization Scripts

VajraSpy receives the BOOT_COMPLETED broadcast intent to activate at device startup.

Discovery

T1420

File and Directory Discovery

VajraSpy lists available files on external storage.

T1422

System Network Configuration Discovery

VajraSpy extracts the IMEI, IMSI, phone number, and country code.

T1426

System Information Discovery

VajraSpy extracts information about the device, including SIM serial number, device ID, and common system information.

T1418

Software Discovery

VajraSpy can obtain a list of installed applications.

Collection

T1533

Data from Local System

VajraSpy exfiltrates files from the device.

T1430

Location Tracking

VajraSpy tracks device location.

T1636.002

Protected User Data: Call Logs

VajraSpy extracts call logs.

T1636.003

Protected User Data: Contact List

VajraSpy extracts the contact list.

T1636.004

Protected User Data: SMS Messages

VajraSpy extracts SMS messages.

T1517

Access Notifications

VajraSpy can collect device notifications.

T1429

Audio Capture

VajraSpy can record microphone audio and record calls.

T1512

Video Capture

VajraSpy can take pictures using the camera.

T1417.001

Input Capture: Keylogging

VajraSpy can intercept all interactions between a user and the device.

Command and Control

T1437.001

Application Layer Protocol: Web Protocols

VajraSpy uses HTTPS to communicate with its C&C server.

T1481.003

Web Service: One-Way Communication

VajraSpy uses Google’s Firebase server as a C&C.

Exfiltration

T1646

Exfiltration Over C2 Channel

VajraSpy exfiltrates data using HTTPS.

Impact

T1641

Data Manipulation

VajraSpy removes files with specific extensions from the device, and deletes all user call logs and the contact list.