Campanha de espionagem do Grupo BladeHawk aponta a usuários do Android de etnia curda

Pesquisadores da ESET analisaram uma campanha de espionagem direcionada a dispositivos móveis e que visa o grupo étnico curdo. A campanha está ativa desde pelo menos março de 2020.

Pesquisadores da ESET analisaram uma campanha de espionagem direcionada a dispositivos móveis e que visa o grupo étnico curdo. A campanha está ativa desde pelo menos março de 2020.

Pesquisadores da ESET analisaram uma campanha de espionagem direcionada a dispositivos móveis visando o grupo étnico curdo. Esta campanha está ativa desde pelo menos março de 2020, distribuindo (através de perfis do Facebook) dois backdoors Android (conhecidos como 888 RAT e SpyNote) disfarçados de aplicativos legítimos. Esses perfis aparentemente compartilhavam notícias relacionadas ao Android em idioma curdo e notícias para apoiadores dos curdos. Alguns desses perfis do Facebook propagaram deliberadamente aplicativos espiões em grupos públicos da rede social que promovem conteúdo pró-curdo. Os dados de um site de download indicam pelo menos 1.481 downloads de URLs patrocinados em algumas postagens do Facebook.

O aplicativo 888 RAT para Android recentemente descoberto foi usado pelos grupos Kasablanka e BladeHawk. Ambos os grupos usaram nomes alternativos para se referir ao mesmo RAT para Android: LodaRAT e Gaza007 respectivamente.

Atividade de espionagem do grupo BladeHawk

A atividade de espionagem que relatamos nesta publicação está diretamente relacionada a dois casos que foram divulgados publicamente em 2020. O Centro de Inteligência de Ameaças de QiAnXin foi quem nomeou o grupo BladeHawk por trás desses ataques, e nós o adotamos. Ambas as campanhas foram distribuídas via Facebook utilizando malware contendo ferramentas comerciais (888 RAT e SpyNote), e todas as amostras de malware que vimos utilizam os mesmos servidores C&C.

Propagação

Como parte dessa campanha do BladeHawk, identificamos seis perfis do Facebook que compartilhavam esses aplicativos espiões para dispositivos Android. Relatamos esses perfis ao Facebook e todos foram removidos. Dois dos perfis estavam direcionados a usuários de tecnologia, enquanto os outros quatro se apresentavam como perfis pró-curdos. Todos esses perfis foram criados em 2020 e, logo após sua criação, deram início a propagar desses aplicativos falsos. Exceto uma das contas, as outras não publicaram nenhum conteúdo além dos RATs para Android disfarçados de aplicativos legítimos.

Esses perfis também são responsáveis ​​por compartilhar aplicativos espiões em grupos públicos do Facebook, a maioria dos quais eram apoiadores de Masoud Barzani, ex-presidente da região do Curdistão. Um exemplo pode ser visto na Figura 1. No total, os grupos-alvo contam com mais de 11 mil seguidores.

Figura 1. Uma das postagens no Facebook.

Em um dos casos, detectamos uma tentativa (Figura 2) de roubar credenciais do Snapchat por meio de um site de phishing (Figura 3).

Figura 2. Postagem no Facebook que direciona ao site de phishing do Snapchat.

Figura 3. Site de phishing do Snapchat.

Identificamos 28 postagens exclusivas no Facebook como parte dessa campanha do BladeHawk. Cada uma dessas publicações continha descrições de aplicativos falsas e links incluídos para baixar um aplicativo – conseguimos baixar 17 APKs exclusivos a partir desses links. Alguns dos links para os APKs apontavam diretamente para o aplicativo malicioso, enquanto outros visavam o serviço de upload de arquivos top4top.io, que rastreia o número de downloads dos arquivos (veja a Figura 4). A partir dessa opção, conseguimos obter o número total de downloads do top4top.io para esses oito aplicativos. Os apps foram baixados 1.481 vezes, de 20 de julho de 2020 a 28 de junho de 2021.

Figura 4. Informações correspondentes à amostra de um RAT hospedado em um serviço de terceiros.

Amostras

Pelo que sabemos, essa campanha foi direcionada apenas aos usuários do Android, e os agentes de ameaças se enfocaram na utilização de dois RATs de uso comercial para Android: 888 RAT e SpyNote. Encontramos apenas uma amostra deste último durante nossa pesquisa. Como ele foi construído usando um antigo builder para SpyNote analisado anteriormente, incluímos apenas a análise das amostras do 888 RAT nesta publicação.

O 888 RAT para Android

O 888 RAT multiplataforma de uso comercial foi originalmente lançado para o ecossistema do Windows por US$ 80. Em junho de 2018, foi expandido para a versão Pro, com a capacidade adicional de construir RAT para Android (US$ 150). Posteriormente, na versão Extreme, também conseguiam criar payloads para Linux (US$ 200).

O 888 RAT foi vendido por meio do site do desenvolvedor em 888-tools[.]com (veja a Figura 5).

Figura 5. Preço do 888 RAT.

Em 2019, a versão Pro (Windows e Android) crackeada foi descoberta (veja a Figura 6) disponível em alguns sites gratuitamente.

Figura 6. Versão crackeada do builder 888 RAT.

Vale ressaltar que o 888 RAT não foi previamente identificado com nenhuma campanha organizada. É a primeira vez que esse RAT é atribuído como indicador de um grupo de espionagem cibernética.

Após essa descoberta, fomos capazes de conectar o 888 RAT para Android com outras duas campanhas adicionais organizadas: Spy TikTok Pro descrita aqui e uma campanha do grupo Kasablanka.

Funcionalidades

O 888 RAT para Android é capaz de executar 42 comandos que recebe de seu servidor C&C, conforme pode ser visto na Tabela 1.

Resumindo, o 888 RAT pode roubar e excluir arquivos de um dispositivo, fazer capturas de tela, obter a localização do dispositivo, coletar credenciais do Facebook, obter uma lista de aplicativos instalados, roubar fotos de usuários, tirar fotos, gravar áudio e ligações telefônicas, fazer chamadas, roubar mensagens SMS, roubar a lista de contatos do dispositivo, enviar mensagens de texto, etc.

O builder também é usado como um C&C para monitorar todos os dispositivos comprometidos, já que usa DNS dinâmico para ser acessado por eles.

Tabela 1. Lista de comandos suportados.

ComandoFuncionalidad
UnistxcrDesplegar detalles de la aplicación especificada
dowsizetrCargar el archivo al servidor desde /sdcard/DCIM/.dat/
DOWdeletxEliminar archivo de /sdcard/DCIM/.dat/
Xr7aouCargar el archivo binario al servidor desde /sdcard/DCIM/.dat/
CaspylistxListar archivos de /sdcard/DCIM/.dat/
spxcheckComprobar si el servicio de grabación de llamadas se está ejecutando
S8p8y0Detener el servicio de grabación de llamadas
Sxpxy1Habilitar el servicio de grabación de llamadas
screXmexTomar captura de pantalla y cargarla en el servidor
BatrxiopsObtener nivel de batería
L4oclOCMAWSObtener la ubicación del dispositivo
FdelSRRTEliminar archivo /sdcard/DCIM/.fdat/ (credenciales de Facebook robadas)
chkstzeawComprobar si la aplicación de Facebook está instalada
IODBSSUEEZCargar las credenciales de Facebook al C&C desde /sdcard/DCIM/.fdat/
GUIFXBLanzar actividad de phishing en Facebook
osEEsObtener los permisos solicitados de la aplicación especificada
LUNAPXERLanzar aplicación específica
GapxplisterObtener la lista de aplicaciones instaladas en el dispositivo
DOTRall8xxeComprimir archivos en el directorio /sdcard/DCIM/.dat/ y cargarlos en el C&C
AcouxacourObtener todas las cuentas del dispositivo
FimxmiisxTomar una foto de la cámara y cargarla en el C&C
Scxreexcv4Obtener información sobre las cámaras de los dispositivos
micmokmi8xGrabr el audio circundante durante el tiempo especificado
DTXXTEGE3Eliminar archivo específico del directorio /sdcard
ODDSEeAbrir URL específica en el navegador predeterminado
YufssspObtener información Exif de un archivo multimedia específico
getsssspoObtener información sobre si existe un archivo específico en el dispositivo
DXCXIXMObtener los nombres de todas las fotos almacenadas en /sdcard/DCIM/
f5iledowqqwwSubir un archivo específico desde el directorio /sdcard/
GExCaalsss7Obtener registros de llamadas del dispositivo
SDgex8seListar archivos de un directorio específico de /sdcard
PHOCAs7Hacer una llamada al número especificado
GxextsxmsObtener la bandeja de entrada de los SMS
MsppossagEnviar mensaje SMS a número especificado
GetconstactxObtener contactos
RinxgosaReproducir tono de llamada durante seis segundos
ShetermixEjecutar comando de shell
bithsssp64Ejecutar script de shell
Deldatall8Limpiar, eliminar todos los archivos de /sdcard/DCIM/.dat/
pvvvozeObtener la dirección IP
paltexwObtener TTL del comando PING
M0xSSw9Mostrar un mensaje Toast específico al usuario

Um fator importante na identificação do 888 RAT é o nome do pacote do payload. O nome do pacote de cada compilação de um payload para Android não é personalizado ou aleatório – sempre usa o ID do pacote com.example.dat.a8osaserverx. Devido a isso, é fácil identificar as amostras como 888 RAT.

Em versões posteriores do 888 RAT (não a versão crackeada), notamos que o builder era capaz de ofuscar strings (strings de comando, C&C e outras strings de texto simples) criptografando-as usando AES com uma chave hardcodeada; no entanto, o nome do pacote continua sendo o mesmo.

C&C

O 888 RAT utiliza uma porta e um protocolo IP personalizados (não necessariamente portas padrão). Os dispositivos comprometidos são controlados diretamente da GUI do builder.

Phishing do Facebook

Quando essa funcionalidade está ativada, o 888 RAT exibe a atividade de phishing que parece vir do aplicativo legítimo do Facebook. Quando o usuário clica no botão de aplicativos recentes, essa atividade parecerá legítima, como pode ser visto na Figura 7. Porém, após um clique no ícone desse aplicativo, como pode ser visto na Figura 8, o verdadeiro nome do aplicativo responsável pela solicitação de login do Facebook.

Figura 7. Solicitação de phishing visível no menu do aplicativo.

Figura 8. Nome real do aplicativo responsável pelo phishing.

Detecção

Desde 2018, os produtos ESET identificaram centenas de instâncias nas quais o 888 RAT foram implantados em dispositivos Android. A Figura 9 mostra a distribuição desses dados de detecção por país.

Figura 9. Detecção do 888 RATs para Android por país.

Conclusão

Esta campanha de espionagem está ativa desde março de 2020 e é voltada exclusivamente para dispositivos Android. O alvo é o grupo étnico curdo por meio de pelo menos 28 publicações maliciosas no Facebook que levariam as vítimas em a baixar o 888 RAT para Android ou SpyNote. A maioria das postagens maliciosas do Facebook resultou em downloads do RAT 888 RAT multiplataforma usado comercialmente, que está disponível no mercado clandestino desde 2018. Em 2019, uma cópia descriptografada da versão Pro do builder 888 RAT esteve disponível em alguns sites e, desde então, detectamos centenas de casos em todo o mundo usando o 888 RAT para Android.

IoCs

Nomes de arquivos e de detecções da ESET

SHA-1Detection name
87D44633F99A94C9B5F29F3FE75D04B2AB2508BAAndroid/Spy.Agent.APU
E47AB984C0EC7872B458AAD803BE637F3EE6F3CAAndroid/Spy.Agent.APG
9A8E5BAD246FC7B3D844BB434E8F697BE4A7A703Android/Spy.Agent.APU
FED42AB6665649787C6D6164A6787B13513B4A41Android/Spy.Agent.APU
8E2636F690CF67F44684887EB473A38398234430Android/Spy.Agent.APU
F0751F2715BEA20A6D5CD7E9792DBA0FA45394A5Android/Spy.Agent.APU
60280E2F6B940D5CBDC3D538E2B83751DB082F46Android/Spy.Agent.APU
F26ADA23739366B9EBBF08BABD5000023921465CAndroid/Spy.Agent.APU
4EBEED1CFAC3FE5A290FA5BF37E6C6072A6869A7Android/Spy.Agent.APU
A15F67430000E3F6B88CD965A01239066C0D23B3Android/Spy.Agent.BII
425AC620A0BB584D59303A62067CC6663C76A65DAndroid/Spy.Agent.APU
4159E3A4BD99067A5F8025FC59473AC53E07B213Android/Spy.Agent.APU
EF9D9BF1876270393615A21AB3917FCBE91BFC60Android/Spy.Agent.APU
231296E505BC40FFE7D308D528A3664BFFF069E4Android/Spy.Agent.APU
906AD75A05E4581A6D0E3984AD0E6524C235A592Android/Spy.Agent.APU
43F36C86BBD370884E77DFD496FD918A2D9E023DAndroid/Spy.Agent.APU
8B03CE129F6B1A913B6B143BB883FC79C2DF1904Android/Spy.Agent.APU

Perfis do Facebook

https://www.facebook[.]com/android4kurd.official/
https://www.facebook[.]com/tech.info00
https://www.facebook[.]com/hewr.dliwar
https://www.facebook[.]com/husain.techno
https://www.facebook[.]com/zaid.abd.3785
https://www.facebook[.]com/profile.php?id=100039915424311

Grupos do Facebook

https://www.facebook[.]com/groups/478454429578545/
https://www.facebook[.]com/groups/275108075847240/
https://www.facebook[.]com/groups/751242802375989/
https://www.facebook[.]com/groups/238330163213092/

Links de propagação

https://apkup[.]xyz/M.Muhammad.Mala.Fayaq_v0.0.6.apk
https://apkup[.]xyz/5G.VPN.Speed_v1.3.4.apk
https://apkup[.]xyz/Ftwa.Islam.Online_v1.0.1.apk
https://apkup[.]xyz/Al-Hashd_V1.0.3.apk
https://apkup[.]xyz/KitabAltawhid_v1.0.4.apk
https://apkup[.]xyz/KDP._V1.2.0.apk
https://apkup[.]xyz/Dosyay16October_V1.2.0.apk
https://apkup[.]xyz/MobileNumberFinder__v1.3.apk
https://f.top4top[.]io/f_LusheAYOtmjzehyF8seQcA/1613135449/1662yvch41.apk
https://a.top4top[.]io/f_Jlno8C2DLeaq71Fq1JV6hg/1613565568/1837ppxen1.apk
https://b.top4top[.]io/f_yTmhbte0yVNbhQbKyh12og/1613135036/1665tzq3x1.apk
https://j.top4top[.]io/f_FQCcQa5qAWHzK_0NdcGWyg/1613134993/16874mc5b1.apk
https://l.top4top[.]io/f_MHfW2u_xnKoXdhjPknEx5Q/1613134914/1703t5b2z1.apk
https://b.top4top[.]io/f_cbXNkHR0T0ZOsTecrGM6iA/1613134863/1703lttbn1.apk
https://k.top4top[.]io/f_bznLRhgqMpAmWXYp1LLrNQ/1613134409/1690q040d1.apk
https://d.top4top[.]io/f_t7G4JjYm7_kzTsa0XYis6Q/1613134182/1749lglct1.apk
https://up4net[.]com/uploads/up4net-Xwakurk-1-0-4.apk

Links de campanhas de phishing

https://apkup[.]xyz/snapchat/login.html

Técnicas do MITRE ATT&CK

Esta tabela atende apenas as TTPs correspondentes ao 888 RAT e foi criada usando a versão 9 do framework ATT&CK.

TacticIDNameDescription
Initial AccessT1444Masquerade as Legitimate ApplicationThe 888 RAT impersonates legitimate applications.
PersistenceT1402Broadcast ReceiversThe 888 RAT listens for the BOOT_COMPLETED broadcast, ensuring that the app's functionality will be activated every time the device starts.
Defense EvasionT1508Suppress Application IconThe 888 RAT hides its icon.
T1447Delete Device DataThe 888 RAT can delete gathered and temporary stored files and any other specific file.
Credential AccessT1411Input PromptThe 888 RAT tries to phish Facebook credentials.
DiscoveryT1418Application DiscoveryThe 888 RAT obtains a list of installed apps.
T1420File and Directory DiscoveryThe 888 RAT identifies content of specific directories.
CollectionT1433Access Call LogThe 888 RAT exfiltrates call log history.
T1430Location TrackingThe 888 RAT retrieves device location.
T1432Access Contact ListThe 888 RAT exfiltrates the victim’s contact list.
T1429Capture AudioThe 888 RAT can record audio from surroundings and calls.
T1512Capture CameraThe 888 RAT can take pictures from the front or rear cameras.
T1412Capture SMS MessagesThe 888 RAT can exfiltrate sent and received SMS messages.
T1533Data from Local SystemThe 888 RAT exfiltrates files with particular extensions from external media.
T1513Screen CaptureThe 888 RAT can take screenshots.
Command And ControlT1509Uncommonly Used PortThe 888 RAT communicates with its C&C over port 4000.
ImpactT1582SMS ControlThe 888 RAT adversary can send SMS messages.
T1447Delete Device DataThe 888 RAT can delete attacker-specified files from the device.

Newsletter

Discussão