ESET-Forscher haben eine gezielte Spionagekampagne über Android-Apps untersucht, die sich gegen Kurden richtet. Diese Kampagne ist mindestens seit März 2020 im Gange und verbreitet die Android-Backdoors 888 RAT und SpyNote, die als legitime Apps getarnt sind. Die Verbreitung erfolgt über legitime Facebook-Profile, die News zu Android und für die kurdische Community und ihre Unterstützer veröffentlichen. Einige der Profile verbreiten absichtlich weitere Spionage-Apps in öffentlichen Facebook-Gruppen mit pro-kurdischen Inhalten. Daten von einer Download-Seite weisen auf mindestens 1.481 Downloads von URLs hin, die mit nur wenigen Facebook-Posts beworben wurden.

Der neu entdeckte Android 888 RAT (engl. Remote Access Trojan) wurde in der Vergangenheit von der Kasablanka-Gruppe und von BladeHawk genutzt. Beide verwendeten andere Namen für die gleiche Android-RAT - LodaRAT bzw. Gaza007.

Android-Spionage durch BladeHawk

Die hier beschriebenen Spionageaktivitäten stehen in direktem Zusammenhang zu zwei im Jahr 2020 veröffentlichten Fällen. Das QiAnXin Threat Intelligence Center gab der Gruppe hinter diesen Angriffen den Namen BladeHawk, den wir ebenfalls verwenden. Beide Kampagnen nutzten Facebook zur Verbreitung der Malware, die mit kommerziellen, automatisierten Tools (888 RAT und SpyNote) erstellt wurde. Dabei verwendeten die Malware-Proben dieselben C&C-Server.

Verbreitung

Im Rahmen dieser BladeHawk-Kampagne haben wir sechs Facebook-Profile identifiziert, über die Android-Spionage-Apps verteilt wurden. Wir haben diese Profile an Facebook gemeldet, worauf sie alle entfernt wurden. Zwei der Profile richteten sich an Technikinteressierte, während sich die anderen vier als Unterstützer der kurdischen Sache ausgaben. Alle Profile wurden im Jahr 2020 erstellt und begannen kurz nach der Erstellung mit der Veröffentlichung der Fake-Apps. Alle Konten, außer einem, haben in der Zeit ihrer Existenz nur als vermeintlich legitime Apps getarnte Android-RATs veröffentlicht.

Die Profile sind auch dafür verantwortlich für die Veröffentlichung von Spionage-Apps in öffentlichen Facebook-Gruppen, die meistens Masoud Barzani, den ehemaligen Präsidenten der Region Kurdistan, unterstützten; Abbildung 1 zeigt dafür ein Beispiel. Insgesamt hatten die ins Visier genommenen Gruppen über 11.000 Follower.

Abbildung 1. Einer der böswilligen Facebook-Posts

In einem Fall entdeckten wir einen Versuch (Abbildung 2), Snapchat-Anmeldeinformationen auf einer Phishing-Website zu erfassen (Abbildung 3).

Abbildung 2. Facebook-Post, der zu einer Snapchat-Phishing-Site führt

Abbildung 3. Snapchat-Phishing-Website

Im Rahmen dieser BladeHawk-Kampagne haben wir 28 einzelne Posts identifiziert. Jeder dieser Beiträge enthielt gefälschte App-Beschreibungen und Links zum Herunterladen einer App. Wir konnten darüber 17 einzelne APK-Installationsdateien herunterladen. Einige der APK-Weblinks wiesen direkt auf die bösartige App hin, während andere auf den Drittanbieter-Upload-Dienst top4top.io verwiesen, der die Anzahl der Dateidownloads angibt (siehe Abbildung 4). Aus diesem Grund haben wir die Gesamtzahl der Downloads von top4top.io für diese acht Apps erhalten. Die acht Apps wurden vom 20.07.2020 bis zum 28.06.2021 insgesamt 1.481-mal heruntergeladen.

Abbildung 4. Informationen zu einer Probe der RAT, die auf einem Drittanbieterdienst gehostet wird

Malware-Proben

Unseres Wissens zielte diese Kampagne nur auf Android-Benutzer ab. Dabei konzentrierten sich die Akteure auf zwei kommerzielle Android-RAT-Tools, 888 RAT und SpyNote. Von letzterem haben wir bei unserer Recherche nur eine Probe gefunden. Da es mit einem alten, bereits analysierten SpyNote-Builder erstellt wurde, liefern wir hier nur die Analyse der 888 RAT-Samples.

Android 888 RAT

Dieser kommerzielle, plattformübergreifende RAT wurde ursprünglich nur für das Windows-Ökosystem für 80 US-Dollar vertrieben. Im Juni 2018 wurde er in der Pro-Version um die zusätzliche Fähigkeit zum Erstellen von Android-RATs (150 US-Dollar) erweitert. Später konnte die Extreme-Version der Plattform auch Linux-Nutzlasten erstellen (zum Preis von 200 US-Dollar).

Er wurde über die Website des Entwicklers unter 888-tools[.]com verkauft (siehe Abbildung 5).

Abbildung 5. Preis für den 888 RAT

Im Jahr 2019 wurde die Pro-Version (Windows und Android) gecrackt (siehe Abbildung 6) und auf einigen Websites kostenlos zur Verfügung gestellt.

Abbildung 6. Gecrackte Version des 888 RAT-Builders

Die 888 RAT wurde bisher nicht direkt im Zusammenhang mit organisierten Kampagnen beobachtet; dies ist das erste Mal, dass der RAT einer Cyberspionage-Gruppe zugewiesen wurde.

Nach dieser Entdeckung konnten wir den Android 888 RAT mit zwei weiteren organisierten Kampagnen in Zusammenhang bringen: Spy TikTok Pro, die hier beschrieben wird, und mit einer Kampagne der Kasablanka Group.

Funktionen

Der Android 888 RAT kann 42 von seinem C&C-Server empfangene Befehle ausführen, die in Tabelle 1 beschrieben werden.

Kurz gesagt, es kann Dateien von einem Gerät stehlen und löschen, Screenshots machen, den Gerätestandort abrufen, Facebook-Anmeldeinformationen phishen, eine Liste der installierten Apps abrufen, Benutzerfotos stehlen, Fotos aufnehmen, Audio- und Telefonanrufe aufzeichnen, Anrufe tätigen, SMS-Nachrichten und die Telefonkontakte auf dem Gerät stehlen usw.

Der Builder wird auch als Command- und Control-Server (C&C) genutzt, um alle kompromittierten Geräte zu steuern. Er verwendet dynamisches DNS, um von ihnen erreicht zu werden.

Tabelle 1. Liste der unterstützten Befehle

Befehl Funktion
Unistxcr App-Details der angegebenen App anzeigen
dowsizetr Datei von /sdcard/DCIM/.dat/ auf den Server hochladen
DOWdeletx Datei von /sdcard/DCIM/.dat/ löschen
Xr7aou Binärdatei von /sdcard/DCIM/.dat/ auf den Server hochladen
Caspylistx Dateien von /sdcard/DCIM/.dat/ auflisten
spxcheck Überprüfen Sie, ob der Anrufaufzeichnungsdienst ausgeführt wird
S8p8y0 Anrufaufzeichnungsdienst stoppen
Sxpxy1 Anrufaufzeichnungsdienst aktivieren
screXmex Screenshot erstellen und auf Server hochladen
Batrxiops Batteriestand abrufen
L4oclOCMAWS Gerätestandort abrufen
FdelSRRT Datei /sdcard/DCIM/.fdat löschen (Phishing-Facebook-Anmeldeinformationen)
chkstzeaw Überprüfen, ob die Facebook-App installiert ist
IODBSSUEEZ Facebook-Anmeldeinformationen von /sdcard/DCIM/.fdat in C&C hochladen
GUIFXB Startet Facebook-Phishing-Aktivitäten
osEEs Erhalten Sie angeforderte Berechtigungen der angegebenen Anwendung
LUNAPXER Spezifische Anwendung starten
Gapxplister Liste der auf dem Gerät installierten Anwendungen abrufen
DOTRall8xxe Dateien im Verzeichnis /sdcard/DCIM/.dat komprimieren und auf C&C hochladen
DOTRall8xxe Dateien im Verzeichnis /sdcard/DCIM/.dat komprimieren und auf C&C hochladen
Acouxacour Alle Gerätekonten abrufen
Fimxmiisx Foto von der Kamera aufnehmen und auf C&C hochladen
Scxreexcv4 Informationen zu Gerätekameras abrufen
micmokmi8x Umgebungsaudio für die angegebene Zeit aufnehmen
DTXXTEGE3 Bestimmte Datei aus dem /sdcard-Verzeichnis löschen
ODDSEe Spezifische URL im Standardbrowser öffnen
Yufsssp Exif-Informationen aus einer bestimmten Mediendatei abrufen
getsssspo Informationen darüber erhalten, ob eine bestimmte Datei auf dem Gerät vorhanden ist
DXCXIXM Ruft die Namen aller Fotos ab, die in /sdcard/DCIM/ gespeichert sind
f5iledowqqww Laden Sie eine bestimmte Datei aus dem /sdcard-Verzeichnis hoch
GExCaalsss7 Anrufprotokolle vom Gerät abrufen
SDgex8se Auflisten von Dateien aus einem bestimmten Verzeichnis von /sdcard
PHOCAs7 Anruf an angegebene Nummer tätigen
Gxextsxms SMS-Posteingang abrufen
Msppossag SMS-Nachricht an angegebene Nummer senden
Getconstactx Kontakte abrufen
Rinxgosa Klingelton sechs Sekunden lang abspielen
Shetermix Shell-Befehl ausführen
bithsssp64 Shell-Skript ausführen
Deldatall8 Cleanup, alle /sdcard/DCIM/.dat-Dateien entfernen
pvvvoze IP-Adresse abrufen
paltexw TTL vom PING-Befehl abrufen
M0xSSw9 Zeigt dem Benutzer eine bestimmte Toast-Nachricht an

Ein wichtiger Faktor bei der Identifizierung von 888 RAT ist der Paketname der Payload. Der Paketname jedes Builds einer Android-Payload ist nicht benutzerdefiniert oder zufällig; es verwendet immer die Paket-ID com.example.dat.a8andoserverx. Aus diesem Grund ist es einfach, Proben wie 888 RAT zu identifizieren.

In späteren Versionen von 888 RAT (nicht der gecrackte RAT-Builder) haben wir festgestellt, dass der Builder Strings (Befehlsstrings, C&C und andere Klartext-Strings) verschleiern konnte, indem er sie mit AES mit einem hartcodierten Schlüssel verschlüsselte; der Paketname blieb jedoch gleich.

C&C

888 RAT verwendet ein benutzerdefiniertes IP-Protokoll und einen benutzerdefinierten Port (es müssen keine Standardports sein). Kompromittierte Geräte werden direkt über die GUI des Builders gesteuert.

Facebook-Phishing

Wenn diese Funktion aktiviert wird, versucht sich 888 RAT als die legitime Facebook-App auszugeben und die Anmeldeinformationen zu phishen. Wenn der Benutzer auf die Schaltfläche „Letzte Apps“ tippt, erscheint diese Aktivität als legitim, wie in Abbildung 7 zu sehen ist. Nach längerem Tippen auf das App-Symbol, wie in Abbildung 8 gezeigt, wird jedoch der echte App-Name, der für die Facebook-Anmeldeabfrage verantwortlich ist, angezeigt.

Abbildung 7. Phishing-Anfrage, wie in der Übersicht der letzten Apps sichtbar

Abbildung 8. Echter Anwendungsname, der für das Phishing verantwortlichen App

Malware-Erkennung

Seit 2018 haben ESET-Produkte Hunderte von Instanzen von Android-Geräten identifiziert, auf denen der 888 RAT bereitgestellt wurde. Abbildung 9 zeigt in welchen Ländern die Malware erkannt wurde.

 

Abbildung 9. Übersicht der Malware-Erkennung der Android 888 RAT nach Ländern

Fazit

Diese seit März 2020 aktive Spionagekampagne richtet sich ausschließlich gegen Android-Geräte. Sie zielte mit mindestens 28 bösartigen Facebook-Posts auf Kurden ab und versuchte potenzielle Opfer dazu zu bringen Android 888 RAT oder SpyNote herunterzuladen. Die meisten der bösartigen Facebook-Posts führten zu Downloads des kommerziellen, plattformübergreifenden 888 RAT, der seit 2018 auf dem Schwarzmarkt erhältlich ist. Seitdem 2019 auf einigen Websites eine gecrackte Kopie der Pro-Version des 888 RAT-Builders bereitgestellt wurde, haben wir weltweit hunderte von Fällen mit dem Android 888 RAT entdeckt.

IoCs

Files and ESET detection names

SHA-1 Detection name
87D44633F99A94C9B5F29F3FE75D04B2AB2508BA Android/Spy.Agent.APU
E47AB984C0EC7872B458AAD803BE637F3EE6F3CA Android/Spy.Agent.APG
9A8E5BAD246FC7B3D844BB434E8F697BE4A7A703 Android/Spy.Agent.APU
FED42AB6665649787C6D6164A6787B13513B4A41 Android/Spy.Agent.APU
8E2636F690CF67F44684887EB473A38398234430 Android/Spy.Agent.APU
F0751F2715BEA20A6D5CD7E9792DBA0FA45394A5 Android/Spy.Agent.APU
60280E2F6B940D5CBDC3D538E2B83751DB082F46 Android/Spy.Agent.APU
F26ADA23739366B9EBBF08BABD5000023921465C Android/Spy.Agent.APU
4EBEED1CFAC3FE5A290FA5BF37E6C6072A6869A7 Android/Spy.Agent.APU
A15F67430000E3F6B88CD965A01239066C0D23B3 Android/Spy.Agent.BII
425AC620A0BB584D59303A62067CC6663C76A65D Android/Spy.Agent.APU
4159E3A4BD99067A5F8025FC59473AC53E07B213 Android/Spy.Agent.APU
EF9D9BF1876270393615A21AB3917FCBE91BFC60 Android/Spy.Agent.APU
231296E505BC40FFE7D308D528A3664BFFF069E4 Android/Spy.Agent.APU
906AD75A05E4581A6D0E3984AD0E6524C235A592 Android/Spy.Agent.APU
43F36C86BBD370884E77DFD496FD918A2D9E023D Android/Spy.Agent.APU
8B03CE129F6B1A913B6B143BB883FC79C2DF1904 Android/Spy.Agent.APU

Facebook profiles

https://www.facebook[.]com/android4kurd.official/
https://www.facebook[.]com/tech.info00
https://www.facebook[.]com/hewr.dliwar
https://www.facebook[.]com/husain.techno
https://www.facebook[.]com/zaid.abd.3785
https://www.facebook[.]com/profile.php?id=100039915424311

Facebook groups

https://www.facebook[.]com/groups/478454429578545/
https://www.facebook[.]com/groups/275108075847240/
https://www.facebook[.]com/groups/751242802375989/
https://www.facebook[.]com/groups/238330163213092/

Distribution links

https://apkup[.]xyz/M.Muhammad.Mala.Fayaq_v0.0.6.apk
https://apkup[.]xyz/5G.VPN.Speed_v1.3.4.apk
https://apkup[.]xyz/Ftwa.Islam.Online_v1.0.1.apk
https://apkup[.]xyz/Al-Hashd_V1.0.3.apk
https://apkup[.]xyz/KitabAltawhid_v1.0.4.apk
https://apkup[.]xyz/KDP._V1.2.0.apk
https://apkup[.]xyz/Dosyay16October_V1.2.0.apk
https://apkup[.]xyz/MobileNumberFinder__v1.3.apk
https://f.top4top[.]io/f_LusheAYOtmjzehyF8seQcA/1613135449/1662yvch41.apk
https://a.top4top[.]io/f_Jlno8C2DLeaq71Fq1JV6hg/1613565568/1837ppxen1.apk
https://b.top4top[.]io/f_yTmhbte0yVNbhQbKyh12og/1613135036/1665tzq3x1.apk
https://j.top4top[.]io/f_FQCcQa5qAWHzK_0NdcGWyg/1613134993/16874mc5b1.apk
https://l.top4top[.]io/f_MHfW2u_xnKoXdhjPknEx5Q/1613134914/1703t5b2z1.apk
https://b.top4top[.]io/f_cbXNkHR0T0ZOsTecrGM6iA/1613134863/1703lttbn1.apk
https://k.top4top[.]io/f_bznLRhgqMpAmWXYp1LLrNQ/1613134409/1690q040d1.apk
https://d.top4top[.]io/f_t7G4JjYm7_kzTsa0XYis6Q/1613134182/1749lglct1.apk
https://up4net[.]com/uploads/up4net-Xwakurk-1-0-4.apk

Phishing links

https://apkup[.]xyz/snapchat/login.html

MITRE ATT&CK techniques

This table only covers TTPs for 888 RAT, and was built using version 9 of the ATT&CK framework.

Tactic ID Name Description
Initial Access T1444 Masquerade as Legitimate Application The 888 RAT impersonates legitimate applications.
Persistence T1402 Broadcast Receivers The 888 RAT listens for the BOOT_COMPLETED broadcast, ensuring that the app's functionality will be activated every time the device starts.
Defense Evasion T1508 Suppress Application Icon The 888 RAT hides its icon.
T1447 Delete Device Data The 888 RAT can delete gathered and temporary stored files and any other specific file.
Credential Access T1411 Input Prompt The 888 RAT tries to phish Facebook credentials.
Discovery T1418 Application Discovery The 888 RAT obtains a list of installed apps.
T1420 File and Directory Discovery The 888 RAT identifies content of specific directories.
Collection T1433 Access Call Log The 888 RAT exfiltrates call log history.
T1430 Location Tracking The 888 RAT retrieves device location.
T1432 Access Contact List The 888 RAT exfiltrates the victim’s contact list.
T1429 Capture Audio The 888 RAT can record audio from surroundings and calls.
T1512 Capture Camera The 888 RAT can take pictures from the front or rear cameras.
T1412 Capture SMS Messages The 888 RAT can exfiltrate sent and received SMS messages.
T1533 Data from Local System The 888 RAT exfiltrates files with particular extensions from external media.
T1513 Screen Capture The 888 RAT can take screenshots.
Command And Control T1509 Uncommonly Used Port The 888 RAT communicates with its C&C over port 4000.
Impact T1582 SMS Control The 888 RAT adversary can send SMS messages.
T1447 Delete Device Data The 888 RAT can delete attacker-specified files from the device.

 

Stärken Sie Ihre Sicherheit mit der Intelligenz des globalen Cyberspace