BladeHawk‑Gruppe: Android‑Spionage gegen Kurden

Die mindestens seit März 2020 laufende Spionagekampagne verteilte die Malware über Facebook-Profile und -Gruppen

Die mindestens seit März 2020 laufende Spionagekampagne verteilte die Malware über Facebook-Profile und -Gruppen

ESET-Forscher haben eine gezielte Spionagekampagne über Android-Apps untersucht, die sich gegen Kurden richtet. Diese Kampagne ist mindestens seit März 2020 im Gange und verbreitet die Android-Backdoors 888 RAT und SpyNote, die als legitime Apps getarnt sind. Die Verbreitung erfolgt über legitime Facebook-Profile, die News zu Android und für die kurdische Community und ihre Unterstützer veröffentlichen. Einige der Profile verbreiten absichtlich weitere Spionage-Apps in öffentlichen Facebook-Gruppen mit pro-kurdischen Inhalten. Daten von einer Download-Seite weisen auf mindestens 1.481 Downloads von URLs hin, die mit nur wenigen Facebook-Posts beworben wurden.

Der neu entdeckte Android 888 RAT (engl. Remote Access Trojan) wurde in der Vergangenheit von der Kasablanka-Gruppe und von BladeHawk genutzt. Beide verwendeten andere Namen für die gleiche Android-RAT – LodaRAT bzw. Gaza007.

Android-Spionage durch BladeHawk

Die hier beschriebenen Spionageaktivitäten stehen in direktem Zusammenhang zu zwei im Jahr 2020 veröffentlichten Fällen. Das QiAnXin Threat Intelligence Center gab der Gruppe hinter diesen Angriffen den Namen BladeHawk, den wir ebenfalls verwenden. Beide Kampagnen nutzten Facebook zur Verbreitung der Malware, die mit kommerziellen, automatisierten Tools (888 RAT und SpyNote) erstellt wurde. Dabei verwendeten die Malware-Proben dieselben C&C-Server.

Verbreitung

Im Rahmen dieser BladeHawk-Kampagne haben wir sechs Facebook-Profile identifiziert, über die Android-Spionage-Apps verteilt wurden. Wir haben diese Profile an Facebook gemeldet, worauf sie alle entfernt wurden. Zwei der Profile richteten sich an Technikinteressierte, während sich die anderen vier als Unterstützer der kurdischen Sache ausgaben. Alle Profile wurden im Jahr 2020 erstellt und begannen kurz nach der Erstellung mit der Veröffentlichung der Fake-Apps. Alle Konten, außer einem, haben in der Zeit ihrer Existenz nur als vermeintlich legitime Apps getarnte Android-RATs veröffentlicht.

Die Profile sind auch dafür verantwortlich für die Veröffentlichung von Spionage-Apps in öffentlichen Facebook-Gruppen, die meistens Masoud Barzani, den ehemaligen Präsidenten der Region Kurdistan, unterstützten; Abbildung 1 zeigt dafür ein Beispiel. Insgesamt hatten die ins Visier genommenen Gruppen über 11.000 Follower.

Abbildung 1. Einer der böswilligen Facebook-Posts

In einem Fall entdeckten wir einen Versuch (Abbildung 2), Snapchat-Anmeldeinformationen auf einer Phishing-Website zu erfassen (Abbildung 3).

Abbildung 2. Facebook-Post, der zu einer Snapchat-Phishing-Site führt

Abbildung 3. Snapchat-Phishing-Website

Im Rahmen dieser BladeHawk-Kampagne haben wir 28 einzelne Posts identifiziert. Jeder dieser Beiträge enthielt gefälschte App-Beschreibungen und Links zum Herunterladen einer App. Wir konnten darüber 17 einzelne APK-Installationsdateien herunterladen. Einige der APK-Weblinks wiesen direkt auf die bösartige App hin, während andere auf den Drittanbieter-Upload-Dienst top4top.io verwiesen, der die Anzahl der Dateidownloads angibt (siehe Abbildung 4). Aus diesem Grund haben wir die Gesamtzahl der Downloads von top4top.io für diese acht Apps erhalten. Die acht Apps wurden vom 20.07.2020 bis zum 28.06.2021 insgesamt 1.481-mal heruntergeladen.

Abbildung 4. Informationen zu einer Probe der RAT, die auf einem Drittanbieterdienst gehostet wird

Malware-Proben

Unseres Wissens zielte diese Kampagne nur auf Android-Benutzer ab. Dabei konzentrierten sich die Akteure auf zwei kommerzielle Android-RAT-Tools, 888 RAT und SpyNote. Von letzterem haben wir bei unserer Recherche nur eine Probe gefunden. Da es mit einem alten, bereits analysierten SpyNote-Builder erstellt wurde, liefern wir hier nur die Analyse der 888 RAT-Samples.

Android 888 RAT

Dieser kommerzielle, plattformübergreifende RAT wurde ursprünglich nur für das Windows-Ökosystem für 80 US-Dollar vertrieben. Im Juni 2018 wurde er in der Pro-Version um die zusätzliche Fähigkeit zum Erstellen von Android-RATs (150 US-Dollar) erweitert. Später konnte die Extreme-Version der Plattform auch Linux-Nutzlasten erstellen (zum Preis von 200 US-Dollar).

Er wurde über die Website des Entwicklers unter 888-tools[.]com verkauft (siehe Abbildung 5).

Abbildung 5. Preis für den 888 RAT

Im Jahr 2019 wurde die Pro-Version (Windows und Android) gecrackt (siehe Abbildung 6) und auf einigen Websites kostenlos zur Verfügung gestellt.

Abbildung 6. Gecrackte Version des 888 RAT-Builders

Die 888 RAT wurde bisher nicht direkt im Zusammenhang mit organisierten Kampagnen beobachtet; dies ist das erste Mal, dass der RAT einer Cyberspionage-Gruppe zugewiesen wurde.

Nach dieser Entdeckung konnten wir den Android 888 RAT mit zwei weiteren organisierten Kampagnen in Zusammenhang bringen: Spy TikTok Pro, die hier beschrieben wird, und mit einer Kampagne der Kasablanka Group.

Funktionen

Der Android 888 RAT kann 42 von seinem C&C-Server empfangene Befehle ausführen, die in Tabelle 1 beschrieben werden.

Kurz gesagt, es kann Dateien von einem Gerät stehlen und löschen, Screenshots machen, den Gerätestandort abrufen, Facebook-Anmeldeinformationen phishen, eine Liste der installierten Apps abrufen, Benutzerfotos stehlen, Fotos aufnehmen, Audio- und Telefonanrufe aufzeichnen, Anrufe tätigen, SMS-Nachrichten und die Telefonkontakte auf dem Gerät stehlen usw.

Der Builder wird auch als Command- und Control-Server (C&C) genutzt, um alle kompromittierten Geräte zu steuern. Er verwendet dynamisches DNS, um von ihnen erreicht zu werden.

Tabelle 1. Liste der unterstützten Befehle

BefehlFunktion
UnistxcrApp-Details der angegebenen App anzeigen
dowsizetrDatei von /sdcard/DCIM/.dat/ auf den Server hochladen
DOWdeletxDatei von /sdcard/DCIM/.dat/ löschen
Xr7aouBinärdatei von /sdcard/DCIM/.dat/ auf den Server hochladen
CaspylistxDateien von /sdcard/DCIM/.dat/ auflisten
spxcheckÜberprüfen Sie, ob der Anrufaufzeichnungsdienst ausgeführt wird
S8p8y0Anrufaufzeichnungsdienst stoppen
Sxpxy1Anrufaufzeichnungsdienst aktivieren
screXmexScreenshot erstellen und auf Server hochladen
BatrxiopsBatteriestand abrufen
L4oclOCMAWSGerätestandort abrufen
FdelSRRTDatei /sdcard/DCIM/.fdat löschen (Phishing-Facebook-Anmeldeinformationen)
chkstzeawÜberprüfen, ob die Facebook-App installiert ist
IODBSSUEEZFacebook-Anmeldeinformationen von /sdcard/DCIM/.fdat in C&C hochladen
GUIFXBStartet Facebook-Phishing-Aktivitäten
osEEsErhalten Sie angeforderte Berechtigungen der angegebenen Anwendung
LUNAPXERSpezifische Anwendung starten
GapxplisterListe der auf dem Gerät installierten Anwendungen abrufen
DOTRall8xxeDateien im Verzeichnis /sdcard/DCIM/.dat komprimieren und auf C&C hochladen
DOTRall8xxeDateien im Verzeichnis /sdcard/DCIM/.dat komprimieren und auf C&C hochladen
AcouxacourAlle Gerätekonten abrufen
FimxmiisxFoto von der Kamera aufnehmen und auf C&C hochladen
Scxreexcv4Informationen zu Gerätekameras abrufen
micmokmi8xUmgebungsaudio für die angegebene Zeit aufnehmen
DTXXTEGE3Bestimmte Datei aus dem /sdcard-Verzeichnis löschen
ODDSEeSpezifische URL im Standardbrowser öffnen
YufssspExif-Informationen aus einer bestimmten Mediendatei abrufen
getsssspoInformationen darüber erhalten, ob eine bestimmte Datei auf dem Gerät vorhanden ist
DXCXIXMRuft die Namen aller Fotos ab, die in /sdcard/DCIM/ gespeichert sind
f5iledowqqwwLaden Sie eine bestimmte Datei aus dem /sdcard-Verzeichnis hoch
GExCaalsss7Anrufprotokolle vom Gerät abrufen
SDgex8seAuflisten von Dateien aus einem bestimmten Verzeichnis von /sdcard
PHOCAs7Anruf an angegebene Nummer tätigen
GxextsxmsSMS-Posteingang abrufen
MsppossagSMS-Nachricht an angegebene Nummer senden
GetconstactxKontakte abrufen
RinxgosaKlingelton sechs Sekunden lang abspielen
ShetermixShell-Befehl ausführen
bithsssp64Shell-Skript ausführen
Deldatall8Cleanup, alle /sdcard/DCIM/.dat-Dateien entfernen
pvvvozeIP-Adresse abrufen
paltexwTTL vom PING-Befehl abrufen
M0xSSw9Zeigt dem Benutzer eine bestimmte Toast-Nachricht an

Ein wichtiger Faktor bei der Identifizierung von 888 RAT ist der Paketname der Payload. Der Paketname jedes Builds einer Android-Payload ist nicht benutzerdefiniert oder zufällig; es verwendet immer die Paket-ID com.example.dat.a8andoserverx. Aus diesem Grund ist es einfach, Proben wie 888 RAT zu identifizieren.

In späteren Versionen von 888 RAT (nicht der gecrackte RAT-Builder) haben wir festgestellt, dass der Builder Strings (Befehlsstrings, C&C und andere Klartext-Strings) verschleiern konnte, indem er sie mit AES mit einem hartcodierten Schlüssel verschlüsselte; der Paketname blieb jedoch gleich.

C&C

888 RAT verwendet ein benutzerdefiniertes IP-Protokoll und einen benutzerdefinierten Port (es müssen keine Standardports sein). Kompromittierte Geräte werden direkt über die GUI des Builders gesteuert.

Facebook-Phishing

Wenn diese Funktion aktiviert wird, versucht sich 888 RAT als die legitime Facebook-App auszugeben und die Anmeldeinformationen zu phishen. Wenn der Benutzer auf die Schaltfläche „Letzte Apps“ tippt, erscheint diese Aktivität als legitim, wie in Abbildung 7 zu sehen ist. Nach längerem Tippen auf das App-Symbol, wie in Abbildung 8 gezeigt, wird jedoch der echte App-Name, der für die Facebook-Anmeldeabfrage verantwortlich ist, angezeigt.

Abbildung 7. Phishing-Anfrage, wie in der Übersicht der letzten Apps sichtbar

Abbildung 8. Echter Anwendungsname, der für das Phishing verantwortlichen App

Malware-Erkennung

Seit 2018 haben ESET-Produkte Hunderte von Instanzen von Android-Geräten identifiziert, auf denen der 888 RAT bereitgestellt wurde. Abbildung 9 zeigt in welchen Ländern die Malware erkannt wurde.

 

Abbildung 9. Übersicht der Malware-Erkennung der Android 888 RAT nach Ländern

Fazit

Diese seit März 2020 aktive Spionagekampagne richtet sich ausschließlich gegen Android-Geräte. Sie zielte mit mindestens 28 bösartigen Facebook-Posts auf Kurden ab und versuchte potenzielle Opfer dazu zu bringen Android 888 RAT oder SpyNote herunterzuladen. Die meisten der bösartigen Facebook-Posts führten zu Downloads des kommerziellen, plattformübergreifenden 888 RAT, der seit 2018 auf dem Schwarzmarkt erhältlich ist. Seitdem 2019 auf einigen Websites eine gecrackte Kopie der Pro-Version des 888 RAT-Builders bereitgestellt wurde, haben wir weltweit hunderte von Fällen mit dem Android 888 RAT entdeckt.

IoCs

Files and ESET detection names

SHA-1Detection name
87D44633F99A94C9B5F29F3FE75D04B2AB2508BAAndroid/Spy.Agent.APU
E47AB984C0EC7872B458AAD803BE637F3EE6F3CAAndroid/Spy.Agent.APG
9A8E5BAD246FC7B3D844BB434E8F697BE4A7A703Android/Spy.Agent.APU
FED42AB6665649787C6D6164A6787B13513B4A41Android/Spy.Agent.APU
8E2636F690CF67F44684887EB473A38398234430Android/Spy.Agent.APU
F0751F2715BEA20A6D5CD7E9792DBA0FA45394A5Android/Spy.Agent.APU
60280E2F6B940D5CBDC3D538E2B83751DB082F46Android/Spy.Agent.APU
F26ADA23739366B9EBBF08BABD5000023921465CAndroid/Spy.Agent.APU
4EBEED1CFAC3FE5A290FA5BF37E6C6072A6869A7Android/Spy.Agent.APU
A15F67430000E3F6B88CD965A01239066C0D23B3Android/Spy.Agent.BII
425AC620A0BB584D59303A62067CC6663C76A65DAndroid/Spy.Agent.APU
4159E3A4BD99067A5F8025FC59473AC53E07B213Android/Spy.Agent.APU
EF9D9BF1876270393615A21AB3917FCBE91BFC60Android/Spy.Agent.APU
231296E505BC40FFE7D308D528A3664BFFF069E4Android/Spy.Agent.APU
906AD75A05E4581A6D0E3984AD0E6524C235A592Android/Spy.Agent.APU
43F36C86BBD370884E77DFD496FD918A2D9E023DAndroid/Spy.Agent.APU
8B03CE129F6B1A913B6B143BB883FC79C2DF1904Android/Spy.Agent.APU

Facebook profiles

https://www.facebook[.]com/android4kurd.official/
https://www.facebook[.]com/tech.info00
https://www.facebook[.]com/hewr.dliwar
https://www.facebook[.]com/husain.techno
https://www.facebook[.]com/zaid.abd.3785
https://www.facebook[.]com/profile.php?id=100039915424311

Facebook groups

https://www.facebook[.]com/groups/478454429578545/
https://www.facebook[.]com/groups/275108075847240/
https://www.facebook[.]com/groups/751242802375989/
https://www.facebook[.]com/groups/238330163213092/

Distribution links

https://apkup[.]xyz/M.Muhammad.Mala.Fayaq_v0.0.6.apk
https://apkup[.]xyz/5G.VPN.Speed_v1.3.4.apk
https://apkup[.]xyz/Ftwa.Islam.Online_v1.0.1.apk
https://apkup[.]xyz/Al-Hashd_V1.0.3.apk
https://apkup[.]xyz/KitabAltawhid_v1.0.4.apk
https://apkup[.]xyz/KDP._V1.2.0.apk
https://apkup[.]xyz/Dosyay16October_V1.2.0.apk
https://apkup[.]xyz/MobileNumberFinder__v1.3.apk
https://f.top4top[.]io/f_LusheAYOtmjzehyF8seQcA/1613135449/1662yvch41.apk
https://a.top4top[.]io/f_Jlno8C2DLeaq71Fq1JV6hg/1613565568/1837ppxen1.apk
https://b.top4top[.]io/f_yTmhbte0yVNbhQbKyh12og/1613135036/1665tzq3x1.apk
https://j.top4top[.]io/f_FQCcQa5qAWHzK_0NdcGWyg/1613134993/16874mc5b1.apk
https://l.top4top[.]io/f_MHfW2u_xnKoXdhjPknEx5Q/1613134914/1703t5b2z1.apk
https://b.top4top[.]io/f_cbXNkHR0T0ZOsTecrGM6iA/1613134863/1703lttbn1.apk
https://k.top4top[.]io/f_bznLRhgqMpAmWXYp1LLrNQ/1613134409/1690q040d1.apk
https://d.top4top[.]io/f_t7G4JjYm7_kzTsa0XYis6Q/1613134182/1749lglct1.apk
https://up4net[.]com/uploads/up4net-Xwakurk-1-0-4.apk

Phishing links

https://apkup[.]xyz/snapchat/login.html

MITRE ATT&CK techniques

This table only covers TTPs for 888 RAT, and was built using version 9 of the ATT&CK framework.

TacticIDNameDescription
Initial AccessT1444Masquerade as Legitimate ApplicationThe 888 RAT impersonates legitimate applications.
PersistenceT1402Broadcast ReceiversThe 888 RAT listens for the BOOT_COMPLETED broadcast, ensuring that the app's functionality will be activated every time the device starts.
Defense EvasionT1508Suppress Application IconThe 888 RAT hides its icon.
T1447Delete Device DataThe 888 RAT can delete gathered and temporary stored files and any other specific file.
Credential AccessT1411Input PromptThe 888 RAT tries to phish Facebook credentials.
DiscoveryT1418Application DiscoveryThe 888 RAT obtains a list of installed apps.
T1420File and Directory DiscoveryThe 888 RAT identifies content of specific directories.
CollectionT1433Access Call LogThe 888 RAT exfiltrates call log history.
T1430Location TrackingThe 888 RAT retrieves device location.
T1432Access Contact ListThe 888 RAT exfiltrates the victim’s contact list.
T1429Capture AudioThe 888 RAT can record audio from surroundings and calls.
T1512Capture CameraThe 888 RAT can take pictures from the front or rear cameras.
T1412Capture SMS MessagesThe 888 RAT can exfiltrate sent and received SMS messages.
T1533Data from Local SystemThe 888 RAT exfiltrates files with particular extensions from external media.
T1513Screen CaptureThe 888 RAT can take screenshots.
Command And ControlT1509Uncommonly Used PortThe 888 RAT communicates with its C&C over port 4000.
ImpactT1582SMS ControlThe 888 RAT adversary can send SMS messages.
T1447Delete Device DataThe 888 RAT can delete attacker-specified files from the device.

 

Stärken Sie Ihre Sicherheit mit der Intelligenz des globalen Cyberspace

Newsletter-Anmeldung

Hier können Sie mitdiskutieren