ESET-Forscher haben zwölf Android-Spionage-Apps identifiziert, die denselben Schadcode enthalten: sechs waren bei Google Play verfügbar und sechs wurden auf VirusTotal gefunden. Alle beobachteten Anwendungen wurden als Messaging-Tools beworben, bis auf eine, die sich als Nachrichten-App ausgab. Im Hintergrund führen diese Anwendungen heimlich einen Remote-Access-Trojaner (RAT) namens VajraSpy aus, der von der Patchwork APT-Gruppe für gezielte Spionage eingesetzt wird.
VajraSpy verfügt über eine Reihe von Spionagefunktionen, die je nach den Berechtigungen, die der mit seinem Code gebündelten App gewährt werden, erweitert werden können. Es stiehlt Kontakte, Dateien, Anrufprotokolle und SMS-Nachrichten, aber einige seiner Implementierungen können sogar WhatsApp- und Signal-Nachrichten extrahieren, Telefongespräche aufzeichnen und Bilder mit der Kamera aufnehmen.
Unseren Recherchen zufolge zielt diese Patchwork APT-Kampagne vor allem auf Nutzer in Pakistan ab.
Die wichtigsten Punkte des Berichts:
- Wir haben eine neue Cyberspionage-Kampagne entdeckt, die wir mit hoher Wahrscheinlichkeit der Patchwork APT-Gruppe zuschreiben.
- Die Kampagne nutzte Google Play, um sechs bösartige Apps zu verbreiten, die mit dem VajraSpy RAT-Code gebündelt waren. Sechs weitere wurden in freier Wildbahn verbreitet.
- Die Apps auf Google Play wurden über 1.400 Mal installiert und sind immer noch in alternativen App-Stores verfügbar.
- Dank der mangelhaften operativen Sicherheit einer der Apps konnten wir 148 kompromittierte Geräte geografisch lokalisieren.
Übersicht
Im Januar 2023 entdeckten wir eine trojanisierte Nachrichten-App namens Rafaqat رفاقت (das Urdu-Wort bedeutet übersetzt "Gemeinschaft"), die zum Diebstahl von Nutzerdaten verwendet wurde. Bei weiteren Nachforschungen wurden mehrere weitere Anwendungen mit demselben Schadcode wie Rafaqat رفاقت entdeckt. Einige dieser Anwendungen hatten das gleiche Entwicklerzertifikat und die gleiche Benutzeroberfläche. Insgesamt analysierten wir 12 trojanisierte Apps, von denen sechs (einschließlich Rafaqat رفاقت) auf Google Play verfügbar waren und sechs in freier Wildbahn gefunden wurden. Die sechs bösartigen Apps, die auf Google Play verfügbar waren, wurden insgesamt mehr als 1.400 Mal heruntergeladen.
Unsere Untersuchungen ergaben, dass die Bedrohungsakteure, die hinter den trojanisierten Apps stehen, wahrscheinlich eine "Honigfalle"-Romantikmasche verwendeten, um ihre Opfer zur Installation der Malware zu verleiten.
Alle Apps, die zu irgendeinem Zeitpunkt auf Google Play verfügbar waren, wurden zwischen April 2021 und März 2023 dort hochgeladen. Die erste der Apps war Privee Talk, die am 1. April 2021 hochgeladen wurde und etwa 15 Installationen erreichte. Im Oktober 2022 folgten dann MeetMe, Let's Chat, Quick Chat und Rafaqat رفاق, die insgesamt über 1.000 Mal installiert wurden. Die letzte auf Google Play verfügbare App war Chit Chat, die im März 2023 erschien und mehr als 100 Installationen erreichte.
Die Apps haben mehrere Gemeinsamkeiten: Die meisten sind Messaging-Anwendungen und alle sind mit dem VajraSpy RAT-Code gebündelt. MeetMe und Chit Chat verwenden eine identische Benutzeroberfläche für die Anmeldung - siehe Abbildung 1. Außerdem wurden die Anwendungen Hello Chat (nicht im Google Play Store verfügbar) und Chit Chat mit demselben eindeutigen Entwicklerzertifikat signiert (SHA-1-Fingerprint: 881541A1104AEDC7CEE504723BD5F63E15DB6420), was bedeutet, dass sie vom selben Entwickler erstellt wurden.
Neben den Anwendungen, die früher auf Google Play verfügbar waren, wurden sechs weitere Messaging-Anwendungen auf VirusTotal hochgeladen. Chronologisch gesehen war YohooTalk die erste, die dort im Februar 2022 auftauchte. Die TikTalk-App tauchte Ende April 2022 auf VirusTotal auf - fast unmittelbar danach teilte das MalwareHunterTeam auf X (ehemals Twitter) die App mit der Domain, auf der sie zum Download bereitstand (fich[.]buzz). Hello Chat wurde im April 2023 hochgeladen. Nidus und GlowChat wurden dort im Juli 2023 hochgeladen, und Wave Chat im September 2023. Diese sechs trojanisierten Anwendungen enthalten denselben bösartigen Code wie die bei Google Play gefundenen.
Abbildung 2 zeigt das Datum, an dem jede Anwendung entweder auf Google Play oder als Beispiel auf VirusTotal verfügbar wurde.
ESET ist Mitglied der App Defense Alliance und aktiver Partner des Programms zur Malware-Bekämpfung, das darauf abzielt, potenziell schädliche Anwendungen (Potentially Harmful Applications, PHAs) schnell zu finden und sie zu stoppen, bevor sie überhaupt auf Google Play erscheinen.
Als Partner der Google App Defense Alliance identifizierte ESET Rafaqat رفاقت als bösartig und teilte diese Erkenntnisse umgehend mit Google. Zu diesem Zeitpunkt war Rafaqat رفاقت bereits aus dem Store entfernt worden. Andere Apps wurden zum Zeitpunkt der Weitergabe des Samples an uns gescannt und nicht als bösartig eingestuft. Alle in dem Bericht identifizierten Apps, die bei Google Play angeboten wurden, sind nicht mehr im Play Store erhältlich.
Viktimologie
Obwohl die ESET-Telemetriedaten nur Erkennungen aus Malaysia registrierten, glauben wir, dass diese nur zufällig waren und nicht die eigentlichen Ziele der Kampagne darstellten. Während unserer Untersuchung führte eine Sicherheitslücke in einer der Apps dazu, dass einige Opferdaten aufgedeckt wurden, was uns ermöglichte, 148 kompromittierte Geräte in Pakistan und Indien zu lokalisieren. Diese waren wahrscheinlich die eigentlichen Ziele der Angriffe.
Ein weiterer Hinweis, der auf Pakistan hindeutet, ist der Name des Entwicklers, der für den Google Play-Eintrag der Rafaqat رفاقت-App verwendet wurde. Die Bedrohungsakteure benutzten den Namen Mohammad Rizwan, der auch der Name eines der beliebtesten Kricketspielers aus Pakistan ist. Bei Rafaqat رفاقت und einigen weiteren dieser trojanisierten Apps war auf dem Anmeldebildschirm standardmäßig die pakistanische Landesvorwahl ausgewählt. Laut Google Translate bedeutet رفاقت auf Urdu"Gemeinschaft". Urdu ist eine der Landessprachen in Pakistan.
Wir gehen davon aus, dass die Opfer über eine "Honigfalle" angesprochen wurden, bei der die Betreiber der Kampagne auf einer anderen Plattform romantisches und/oder sexuelles Interesse an ihren Zielpersonen vortäuschten und sie dann überzeugten, diese trojanisierten Apps herunterzuladen.
Attribution zu Patchwork
Der bösartige Code, der von den Apps ausgeführt wird, wurde erstmals im März 2022 von QiAnXin entdeckt. Sie nannten ihn VajraSpy und schrieben ihn APT-Q-43 zu. Diese APT-Gruppe zielt hauptsächlich auf diplomatische und staatliche Einrichtungen ab.
Im März 2023 veröffentlichte Meta einen Bericht über die Bedrohungslage im ersten Quartal, der unter anderem die Taktiken, Techniken und Verfahren (TTPs) verschiedener APT-Gruppen enthält. Der Bericht enthält das von der APT-Gruppe Patchwork verwendete Vorgehen, das aus gefälschten Social-Media-Konten, Android-Malware-Hashes und einem Verbreitungsvektor besteht. Der Abschnitt "Threat indicators" des Berichts enthält Samples, die von QiAnXin mit denselben Verbreitungsdomänen analysiert und gemeldet wurden.
Im November 2023 veröffentlichte Qihoo 360 unabhängig einen Artikel, der die von Meta und diesem Bericht beschriebenen bösartigen Apps mit der VajraSpy-Malware in Verbindung brachte, die von Fire Demon Snake (APT-C-52), einer neuen APT-Gruppe, betrieben wird.
Unsere Analyse dieser Apps ergab, dass sie alle den gleichen Schadcode aufweisen und zur gleichen Malware-Familie, VajraSpy, gehören. Der Bericht von Meta enthält umfassendere Informationen, die Meta einen besseren Einblick in die Kampagnen und mehr Daten zur Identifizierung der APT-Gruppe geben könnten. Aus diesem Grund haben wir VajraSpy der Patchwork APT-Gruppe zugeordnet.
Technische Analyse
VajraSpy ist ein anpassbarer Trojaner, der in der Regel als Messaging-Anwendung getarnt ist und dazu dient, Benutzerdaten zu exfiltrieren. Uns ist aufgefallen, dass die Malware in allen beobachteten Fällen dieselben Klassennamen verwendet, unabhängig davon, ob es sich um die von ESET oder von anderen Forschern gefundenen Beispiele handelt.
Zur Veranschaulichung zeigt Abbildung 3 einen Vergleich der bösartigen Klassen von Varianten der VajraSpy-Malware. Der Screenshot auf der linken Seite ist eine Liste der bösartigen Klassen, die in der von Meta entdeckten Click App gefunden wurden, der Screenshot in der Mitte zeigt die bösartigen Klassen in MeetMe (entdeckt von ESET), und der Screenshot auf der rechten Seite zeigt die bösartigen Klassen in WaveChat, einer bösartigen App, die in freier Wildbahn gefunden wurde. Alle Anwendungen haben die gleichen Worker-Klassen, die für die Datenexfiltration verantwortlich sind.
Abbildung 4 und Abbildung 5 zeigen den Code, der für das Exfiltrieren von Benachrichtigungen aus der im Meta-Bericht erwähnten Crazy Talk-App bzw. der Nidus-App verantwortlich ist.
Der Umfang der bösartigen Funktionen von VajraSpy variiert je nach den der trojanisierten Anwendung gewährten Berechtigungen.
Zur einfacheren Analyse haben wir die trojanisierten Anwendungen in drei Gruppen unterteilt.
Gruppe 1: trojanisierte Messaging-Anwendungen mit grundlegenden Funktionen
Die erste Gruppe umfasst alle trojanisierten Messaging-Anwendungen, die früher auf Google Play verfügbar waren, d. h. MeetMe, Privee Talk, Let's Chat, Quick Chat, GlowChat und Chit Chat. Dazu gehört ebenfalls Hello Chat, das nicht auf Google Play verfügbar war.
Alle Anwendungen in dieser Gruppe bieten standardmäßige Messaging-Funktionen, erfordern jedoch zunächst die Erstellung eines Kontos durch den Benutzer. Die Erstellung eines Kontos hängt von der Verifizierung der Telefonnummer über einen einmaligen SMS-Code ab - wenn die Telefonnummer nicht verifiziert werden kann, wird das Konto nicht erstellt. Ob das Konto erstellt wird oder nicht, ist für die Malware jedoch weitgehend irrelevant, da VajraSpy in jedem Fall ausgeführt wird. Ein möglicher Nutzen der Verifizierung der Telefonnummer durch das Opfer könnte darin bestehen, dass die Bedrohungsakteure die Landesvorwahl ihres Opfers erfahren, aber das ist nur eine Spekulation unsererseits.
Diese Anwendungen verfügen über dieselben bösartigen Funktionen und sind in der Lage, Folgendes zu exfiltrieren:
- Kontakte,
- SMS-Nachrichten,
- Anrufprotokolle,
- den Standort des Geräts,
- eine Liste der installierten Anwendungen und
- Dateien mit bestimmten Erweiterungen (
.pdf,.doc,.docx,.txt,.ppt,.pptx,.xls,.xlsx,.jpg,.jpeg,.png,.mp3,.Om4a,.aac, und.opus).
Einige der Anwendungen können ihre Berechtigungen ausnutzen, um auf Benachrichtigungen zuzugreifen. Wenn eine solche Berechtigung erteilt wird, kann VajraSpy empfangene Nachrichten von jeder Messaging-Anwendung, einschließlich SMS-Nachrichten, abfangen.
Abbildung 6 zeigt eine Liste der Dateierweiterungen, die VajraSpy von einem Gerät exfiltrieren kann.
Die Betreiber hinter den Angriffen nutzten Firebase Hosting, einen Web-Content-Hosting-Dienst, als C&C-Server. Der Server diente nicht nur als C&C, sondern wurde auch zum Speichern der Kontoinformationen der Opfer und zum Austausch von Nachrichten verwendet. Wir meldeten den Server an Google, den Betreibern von Firebase.
Gruppe 2: trojanisierte Messaging-Anwendungen mit fortgeschrittenen Funktionalitäten
Gruppe zwei besteht aus TikTalk, Nidus, YohooTalk und Wave Chat sowie den in anderen Forschungsarbeiten beschriebenen Fällen von VajraSpy-Malware, wie z. B. Crazy Talk (behandelt von Meta und QiAnXin).
Wie bei den Anwendungen der ersten Gruppe wird das potenzielle Opfer aufgefordert, ein Konto zu erstellen und seine Telefonnummer mit einem einmaligen SMS-Code zu verifizieren. Das Konto wird nicht erstellt, wenn die Telefonnummer nicht verifiziert ist, aber VajraSpy wird trotzdem ausgeführt.
Die Apps dieser Gruppe verfügen über erweiterte Funktionen im Vergleich zu denen der ersten Gruppe. Zusätzlich zu den Funktionen der ersten Gruppe sind diese Apps in der Lage, die integrierten Zugriffsoptionen zu nutzen, um die Kommunikation über WhatsApp, WhatsApp Business und Signal abzufangen. VajraSpy protokolliert jede sichtbare Kommunikation von diesen Apps in der Konsole und in der lokalen Datenbank und lädt sie anschließend auf den in Firebase gehosteten C&C-Server hoch. Zur Veranschaulichung zeigt Abbildung 7, wie die Malware die WhatsApp-Kommunikation in Echtzeit protokolliert.
Darüber hinaus ermöglichen ihre erweiterten Funktionen das Ausspionieren von Chat-Kommunikation und das Abfangen von Benachrichtigungen. Alles in allem sind die Apps der Gruppe 2 in der Lage, zusätzlich zu den Informationen, die von den Apps der Gruppe 1 exfiltriert werden können, Folgendes zu exfiltrieren:
- empfangene Benachrichtigungen und
- ausgetauschte Nachrichten in WhatsApp, WhatsApp Business und Signal.
Eine der Apps in dieser Gruppe, Wave Chat, verfügt über noch mehr bösartige Fähigkeiten als die, die wir bereits behandelt haben. Außerdem verhält sie sich beim ersten Start anders und fordert den Benutzer auf, Zugangsdienste zuzulassen. Sobald diese Dienste zugelassen sind, aktivieren sie automatisch alle erforderlichen Berechtigungen im Namen des Benutzers und erweitern so den Zugriff von VajraSpy auf das Gerät. Zusätzlich zu den bereits erwähnten bösartigen Funktionen kann Wave Chat auch:
- Telefongespräche aufzeichnen,
- Anrufe von WhatsApp, WhatsApp Business, Signal und Telegram aufzeichnen,
- Tastenanschläge protokollieren,
- Bilder mit der Kamera aufnehmen,
- Umgebungsgeräusche aufzeichnen und
- nach Wi-Fi-Netzwerken suchen.
Wave Chat kann einen C&C-Befehl zur Aufnahme eines Bildes mit der Kamera und einen weiteren Befehl zur Audioaufzeichnung erhalten, entweder für 60 Sekunden (standardmäßig) oder für die in der Serverantwort angegebene Zeitspanne. Die aufgenommenen Daten werden dann über POST-Anfragen an den C&C weitergeleitet.
Für den Empfang von Befehlen und die Speicherung von Benutzernachrichten, SMS-Nachrichten und der Kontaktliste verwendet Wave Chat einen Firebase-Server. Für andere exfiltrierte Daten werden ein anderer C&C-Server und ein Client verwendet, der auf einem Open-Source-Projekt namens Retrofit basiert. Retrofit ist ein Android-REST-Client in Java, der das Abrufen und Hochladen von Daten über einen REST-basierten Webdienst erleichtert. VajraSpy verwendet ihn, um Benutzerdaten unverschlüsselt über HTTP auf den C&C-Server hochzuladen.
Gruppe 3: Anwendungen, die keine Nachrichten versenden
Bislang ist die einzige Anwendung, die zu dieser Gruppe gehört, diejenige, die den Anstoß zu dieser Untersuchung gegeben hat - Rafaqat رفاقت. Es ist die einzige VajraSpy-Anwendung, die nicht für Messaging verwendet wird, sondern angeblich dazu dient, die neuesten Nachrichten zu liefern. Da Nachrichten-Apps keine weiterreichenden Berechtigungen wie den Zugriff auf SMS-Nachrichten oder Anrufprotokolle anfordern müssen, sind die bösartigen Fähigkeiten von Rafaqat رفاقت im Vergleich zu den anderen analysierten Anwendungen begrenzt.
Rafaqat رفاقت wurde am 26. Oktober 2022 von einem Entwickler mit dem Namen Mohammad Rizwan, dem Namen eines der beliebtesten pakistanischen Kricketspieler, in Google Play hochgeladen. Die Anwendung erreichte über tausend Installationen, bevor sie aus dem Google Play Store entfernt wurde.
Interessanterweise reichte derselbe Entwickler einige Wochen vor dem Erscheinen von Rafaqat رفاقت zwei weitere Apps mit identischem Namen und bösartigem Code zum Hochladen in Google Play ein. Diese beiden Apps wurden jedoch nicht auf Google Play veröffentlicht.
Der Anmeldeschirm der App mit vorgewähltem pakistanischen Ländercode ist in Abbildung 8 zu sehen.
Obwohl die App beim Start eine Anmeldung mit einer Telefonnummer verlangt, ist keine Nummernüberprüfung implementiert, d. h. der Benutzer kann sich mit einer beliebigen Telefonnummer anmelden.
Rafaqat رفاقت kann Benachrichtigungen abfangen und Folgendes exfiltrieren:
- Kontakte, und
- Dateien mit bestimmten Erweiterungen (
.pdf,.doc,.docx,.txt,.ppt,.pptx,.xls,.xlsx,.jpg,.jpeg,.png,.mp3,.Om4a,.aac, und.opus).
Abbildung 9 zeigt die Exfiltration einer empfangenen SMS-Nachricht unter Verwendung der Berechtigung zum Zugriff auf Benachrichtigungen.
Zusammenfassung
ESET Research hat eine Spionagekampagne entdeckt, bei der mit VajraSpy-Malware gebündelte Apps verwendet wurden, die mit hoher Wahrscheinlichkeit von der Patchwork APT-Gruppe durchgeführt wurde. Einige Apps wurden über Google Play verbreitet und zusammen mit anderen auch in freier Wildbahn gefunden. Den vorliegenden Zahlen zufolge wurden die bösartigen Apps, die früher bei Google Play verfügbar waren, mehr als 1.400 Mal heruntergeladen. Eine Sicherheitslücke in einer der Apps deckte außerdem 148 kompromittierte Geräte auf.
Mehrere Indikatoren deuten darauf hin, dass die Kampagne hauptsächlich auf pakistanische Nutzer abzielte: Rafaqat رفاقت, eine der bösartigen Apps, verwendete den Namen eines beliebten pakistanischen Kricketspielers als Entwicklernamen auf Google Play. Die Apps, die bei der Kontoerstellung eine Telefonnummer verlangten, hatten standardmäßig die pakistanische Landesvorwahl ausgewählt, und viele der durch die Sicherheitslücke entdeckten kompromittierten Geräte befanden sich in Pakistan.
Um ihre Opfer anzulocken, nutzten die Bedrohungsakteure wahrscheinlich gezielte "Honigfallen"-Romantikbetrügereien, indem sie die Opfer zunächst auf einer anderen Plattform kontaktierten und sie dann überzeugten, zu einer trojanisierten Chat-Anwendung zu wechseln. Dies wurde auch in der Qihoo 360-Studie berichtet, in der die Bedrohungsakteure die Kommunikation mit den Opfern zunächst über Facebook Messenger und WhatsApp begannen und dann zu einer trojanisierten Chat-Anwendung wechselten.
Cyberkriminelle setzen Social Engineering als mächtige Waffe ein. Wir raten dringend davon ab, auf Links zum Herunterladen einer Anwendung zu klicken, die in einer Chat-Konversation gesendet werden. Es kann schwierig sein, gegen falsche romantische Annäherungsversuche immun zu bleiben, aber es lohnt sich, immer wachsam zu sein.
Wenn Sie Fragen zu unseren auf WeLiveSecurity veröffentlichten Untersuchungen haben, kontaktieren Sie uns bitte unter threatintel@eset.com.
ESET Research bietet private APT Intelligence Reports und Datenfeeds an. Wenn Sie Fragen zu diesem Service haben, besuchen Sie die ESET Threat Intelligence Seite.
IoCs
Dateien
|
SHA-1 |
Package name |
ESET detection name |
Description |
|
BAF6583C54FC680AA6F71F3B694E71657A7A99D0 |
com.hello.chat |
Android/Spy.VajraSpy.B |
VajraSpy trojan. |
|
846B83B7324DFE2B98264BAFAC24F15FD83C4115 |
com.chit.chat |
Android/Spy.VajraSpy.A |
VajraSpy trojan. |
|
5CFB6CF074FF729E544A65F2BCFE50814E4E1BD8 |
com.meeete.org |
Android/Spy.VajraSpy.A |
VajraSpy trojan. |
|
1B61DC3C2D2C222F92B84242F6FCB917D4BC5A61 |
com.nidus.no |
Android/Spy.Agent.BQH |
VajraSpy trojan. |
|
BCD639806A143BD52F0C3892FA58050E0EEEF401 |
com.rafaqat.news |
Android/Spy.VajraSpy.A |
VajraSpy trojan. |
|
137BA80E443610D9D733C160CCDB9870F3792FB8 |
com.tik.talk |
Android/Spy.VajraSpy.A |
VajraSpy trojan. |
|
5F860D5201F9330291F25501505EBAB18F55F8DA |
com.wave.chat |
Android/Spy.VajraSpy.C |
VajraSpy trojan. |
|
3B27A62D77C5B82E7E6902632DA3A3E5EF98E743 |
com.priv.talk |
Android/Spy.VajraSpy.C |
VajraSpy trojan. |
|
44E8F9D0CD935D0411B85409E146ACD10C80BF09 |
com.glow.glow |
Android/Spy.VajraSpy.A |
VajraSpy trojan. |
|
94DC9311B53C5D9CC5C40CD943C83B71BD75B18A |
com.letsm.chat |
Android/Spy.VajraSpy.A |
VajraSpy trojan. |
|
E0D73C035966C02DF7BCE66E6CE24E016607E62E |
com.nionio.org |
Android/Spy.VajraSpy.C |
VajraSpy trojan. |
|
235897BCB9C14EB159E4E74DE2BC952B3AD5B63A |
com.qqc.chat |
Android/Spy.VajraSpy.A |
VajraSpy trojan. |
|
8AB01840972223B314BF3C9D9ED3389B420F717F |
com.yoho.talk |
Android/Spy.VajraSpy.A |
VajraSpy trojan. |
Netzwerk
|
IP |
Domain |
Hosting provider |
First seen |
Details |
|
34.120.160[.]131 |
hello-chat-c47ad-default-rtdb.firebaseio[.]com chit-chat-e9053-default-rtdb.firebaseio[.]com meetme-abc03-default-rtdb.firebaseio[.]com chatapp-6b96e-default-rtdb.firebaseio[.]com tiktalk-2fc98-default-rtdb.firebaseio[.]com wave-chat-e52fe-default-rtdb.firebaseio[.]com privchat-6cc58-default-rtdb.firebaseio[.]com glowchat-33103-default-rtdb.firebaseio[.]com letschat-5d5e3-default-rtdb.firebaseio[.]com quick-chat-1d242-default-rtdb.firebaseio[.]com yooho-c3345-default-rtdb.firebaseio[.]com |
Google LLC |
2022-04-01 |
VajraSpy C&C servers |
|
35.186.236[.]207 |
rafaqat-d131f-default-rtdb.asia-southeast1.firebasedatabase[.]app |
Google LLC |
2023-03-04 |
VajraSpy C&C server |
|
160.20.147[.]67 |
N/A |
aurologic GmbH |
2021-11-03 |
VajraSpy C&C server |
MITRE ATT&CK-Techniken
Diese Tabelle wurde mit der Version 14 des MITRE ATT&CK Frameworks erstellt.
|
Tactic |
ID |
Name |
Description |
|
Persistence |
Boot or Logon Initialization Scripts |
VajraSpy receives the BOOT_COMPLETED broadcast intent to activate at device startup. |
|
|
Discovery |
File and Directory Discovery |
VajraSpy lists available files on external storage. |
|
|
System Network Configuration Discovery |
VajraSpy extracts the IMEI, IMSI, phone number, and country code. |
||
|
System Information Discovery |
VajraSpy extracts information about the device, including SIM serial number, device ID, and common system information. |
||
|
Software Discovery |
VajraSpy can obtain a list of installed applications. |
||
|
Collection |
Data from Local System |
VajraSpy exfiltrates files from the device. |
|
|
Location Tracking |
VajraSpy tracks device location. |
||
|
Protected User Data: Call Logs |
VajraSpy extracts call logs. |
||
|
Protected User Data: Contact List |
VajraSpy extracts the contact list. |
||
|
Protected User Data: SMS Messages |
VajraSpy extracts SMS messages. |
||
|
Access Notifications |
VajraSpy can collect device notifications. |
||
|
Audio Capture |
VajraSpy can record microphone audio and record calls. |
||
|
Video Capture |
VajraSpy can take pictures using the camera. |
||
|
Input Capture: Keylogging |
VajraSpy can intercept all interactions between a user and the device. |
||
|
Command and Control |
Application Layer Protocol: Web Protocols |
VajraSpy uses HTTPS to communicate with its C&C server. |
|
|
Web Service: One-Way Communication |
VajraSpy uses Google’s Firebase server as a C&C. |
||
|
Exfiltration |
Exfiltration Over C2 Channel |
VajraSpy exfiltrates data using HTTPS. |
|
|
Impact |
Data Manipulation |
VajraSpy removes files with specific extensions from the device, and deletes all user call logs and the contact list. |
