Campaña de espionaje del grupo BladeHawk dirigida a usuarios de Android de la etnia kurda

Investigadores de ESET analizaron una campaña de espionaje dirigida a dispositivos móviles que apuntaba al grupo étnico kurdo y que ha estado activa al menos desde marzo de 2020.

Investigadores de ESET analizaron una campaña de espionaje dirigida a dispositivos móviles que apuntaba al grupo étnico kurdo y que ha estado activa al menos desde marzo de 2020.

Investigadores de ESET han analizado una campaña de espionaje dirigida a dispositivos móviles que apunta al grupo étnico kurdo. Esta campaña ha estado activa al menos desde marzo de 2020, distribuyendo (a través de perfiles dedicados de Facebook) dos backdoors para Android (conocidos como 888 RAT y SpyNote) disfrazados como aplicaciones legítimas. Estos perfiles parecían estar compartiendo noticias relacionadas con Android en idioma kurdo y noticias para los partidarios de los kurdos. Algunos de estos perfiles de Facebook difundieron adicionalmente y de forma deliberada aplicaciones para realizar espionaje en grupos públicos de Facebook que promovían contenido a favor de los kurdos. Datos de un sitio de descargas indican al menos 1.481 descargas desde URL promocionadas en unas pocas publicaciones de Facebook.

El recientemente descubierto de 888 RAT para Android ha sido utilizado por el grupo Kasablanka  y por BladeHawk. Ambos usaron nombres alternativos para referirse al mismo RAT para Android: LodaRAT y Gaza007 respectivamente.

Actividad espía de BladeHawk

La actividad de espionaje que reportamos en esta publicación está directamente relacionada con dos casos que fueron divulgados públicamente en 2020. El Centro de Inteligencia de Amenazas de QiAnXin fue quien puso el nombre BladeHawk al grupo detrás de estos ataques, y nosotros lo hemos adoptado. Ambas campañas se distribuyeron a través de Facebook utilizando malware que contiene herramientas de uso comercial (888 RAT y SpyNote), y todas las muestras que hemos visto del malware utilizan los mismos servidores de C&C.

Distribución

Como parte de esta campaña de BladeHawk identificamos seis perfiles de Facebook que compartían estas aplicaciones de espionaje para Android. Reportamos estos perfiles a Facebook y todos han sido eliminados. Dos de los perfiles estaban dirigidos a usuarios de tecnología, mientras que los otros cuatro se hicieron pasar perfiles partidarios kurdos. Todos estos perfiles se crearon en 2020 y poco después de su creación comenzaron a distribuir estas aplicaciones falsas. Excepto una de las cuentas, las demás no han publicado ningún otro contenido que no sean los RAT para Android disfrazados de aplicaciones legítimas.

Estos perfiles también son responsables de compartir aplicaciones para espionaje en grupos públicos de Facebook, la mayoría de los cuales eran partidarios de Masoud Barzani, ex presidente de la región del Kurdistán. Se puede ver un ejemplo en la Figura 1. En total, los grupos apuntados tienen más de 11.000 seguidores.

Figura 1. Una de las publicaciones de Facebook

En un caso, detectamos un intento (Figura 2) de capturar las credenciales de Snapchat a través de un sitio de phishing (Figura 3).

Figura 2. Publicación de Facebook que lleva a un sitio de phishing de Snapchat

Figura 3. Sitio web de phishing de Snapchat

Identificamos 28 publicaciones únicas de Facebook como parte de esta campaña de BladeHawk. Cada una de estas publicaciones contenía descripciones de aplicaciones falsas e incluían enlaces para descargar una aplicación, y pudimos descargar 17 APK únicos a partir de estos enlaces. Algunos de los enlaces a los APK dirigían directamente a la aplicación maliciosa, mientras que otros apuntaban al servicio de carga de archivos top4top.io, que registra la cantidad de descargas de los archivos (consulte la Figura 4). A partir de esta opción obtuvimos el número total de descargas desde top4top.io para esas ocho aplicaciones. Las mismas se descargaron en total 1,481 veces, desde el 20 de julio de 2020 hasta el 28 de junio de 2021.

Figura 4. Información correspondiente a la muestra de un RAT alojado en un servicio de terceros

Muestras

Hasta donde sabemos, esta campaña estuvo dirigida solamente a usuarios de Android, y los actores de amenazas se centraron en el uso de dos RAT de uso comercial para Android: 888 RAT y SpyNote. Encontramos solo una muestra de este último durante nuestra investigación. Como fue construido usando un antiguo builder para SpyNote previamente analizado, en esta publicación incluimos solo el análisis de las muestras de 888 RAT.

888 RAT para Android

Este RAT multiplataforma de uso comercial se publicó originalmente para el ecosistema Windows por $80. En junio de 2018 se amplió en la versión Pro, con la capacidad adicional para construir RAT para Android ($ 150). Más tarde, en la versión Extreme también se podían crear payloads para Linux ($ 200).

Fue vendido a través del sitio web del desarrollador en 888-tools[.]com (consulte la Figura 5).

Figura 5. Precio de 888 RAT

En 2019, se descubrió la versión Pro (Windows y Android) crackeada (consulte la Figura 6) disponible en algunos sitios web de forma gratuita.

Figura 6. Versión crackeada del builder 888 RAT

Vale la pena mencionar que 888 RAT no ha estado identificado previamente con ninguna campaña organizada; siendo esta la primera vez que se asigna este RAT como indicador de un grupo de ciberespionaje.

Tras este hallazgo, pudimos conectar 888 RAT para Android con otras dos campañas organizadas adicionales: Spy TikTok Pro descrita aquí y una campaña del grupo Kasablanka.

Funcionalidades

888 RAT para Android es capaz de ejecutar 42 comandos que recibe de su servidor de C&C, como se ve en la Tabla 1.

En resumen, puede robar y eliminar archivos de un dispositivo, tomar capturas de pantalla, obtener la ubicación del dispositivo, recolectar credenciales de Facebook, obtener una lista de aplicaciones instaladas, robar fotos de usuarios, tomar fotos, grabar audio y llamadas telefónicas, hacer llamadas, robar mensajes SMS, robar la lista de contactos del dispositivo, enviar mensajes de texto, etc.

El builder también se usa como C&C para controlar todos los dispositivos comprometidos, ya que usa DNS dinámicos para ser alcanzado por ellos.

Tabla 1. Lista de comandos admitidos

ComandoFuncionalidad
UnistxcrDesplegar detalles de la aplicación especificada
dowsizetrCargar el archivo al servidor desde /sdcard/DCIM/.dat/
DOWdeletxEliminar archivo de /sdcard/DCIM/.dat/
Xr7aouCargar el archivo binario al servidor desde /sdcard/DCIM/.dat/
CaspylistxListar archivos de /sdcard/DCIM/.dat/
spxcheckComprobar si el servicio de grabación de llamadas se está ejecutando
S8p8y0Detener el servicio de grabación de llamadas
Sxpxy1Habilitar el servicio de grabación de llamadas
screXmexTomar captura de pantalla y cargarla en el servidor
BatrxiopsObtener nivel de batería
L4oclOCMAWSObtener la ubicación del dispositivo
FdelSRRTEliminar archivo /sdcard/DCIM/.fdat/ (credenciales de Facebook robadas)
chkstzeawComprobar si la aplicación de Facebook está instalada
IODBSSUEEZCargar las credenciales de Facebook al C&C desde /sdcard/DCIM/.fdat/
GUIFXBLanzar actividad de phishing en Facebook
osEEsObtener los permisos solicitados de la aplicación especificada
LUNAPXERLanzar aplicación específica
GapxplisterObtener la lista de aplicaciones instaladas en el dispositivo
DOTRall8xxeComprimir archivos en el directorio /sdcard/DCIM/.dat/ y cargarlos en el C&C
AcouxacourObtener todas las cuentas del dispositivo
FimxmiisxTomar una foto de la cámara y cargarla en el C&C
Scxreexcv4Obtener información sobre las cámaras de los dispositivos
micmokmi8xGrabr el audio circundante durante el tiempo especificado
DTXXTEGE3Eliminar archivo específico del directorio /sdcard
ODDSEeAbrir URL específica en el navegador predeterminado
YufssspObtener información Exif de un archivo multimedia específico
getsssspoObtener información sobre si existe un archivo específico en el dispositivo
DXCXIXMObtener los nombres de todas las fotos almacenadas en /sdcard/DCIM/
f5iledowqqwwSubir un archivo específico desde el directorio /sdcard/
GExCaalsss7Obtener registros de llamadas del dispositivo
SDgex8seListar archivos de un directorio específico de /sdcard
PHOCAs7Hacer una llamada al número especificado
GxextsxmsObtener la bandeja de entrada de los SMS
MsppossagEnviar mensaje SMS a número especificado
GetconstactxObtener contactos
RinxgosaReproducir tono de llamada durante seis segundos
ShetermixEjecutar comando de shell
bithsssp64Ejecutar script de shell
Deldatall8Limpiar, eliminar todos los archivos de /sdcard/DCIM/.dat/
pvvvozeObtener la dirección IP
paltexwObtener TTL del comando PING
M0xSSw9Mostrar un mensaje Toast específico al usuario

Un factor importante al identificar 888 RAT es el nombre del paquete del payload. El nombre del paquete de cada compilación de un payload para Android no es personalizado ni aleatorio; siempre usa el ID de paquete com.example.dat.a8andoserverx. Debido a esto, es fácil identificar muestras como 888 RAT.

En versiones posteriores de 888 RAT (no la versión crackeada), notamos que el builder era capaz de ofuscar strings (strings de comandos, C&C y otras strings de texto sin formato) cifrándolas usando AES con una clave hardcodeada; sin embargo, el nombre del paquete sigue siendo el mismo.

C&C

888 RAT utiliza un puerto y un protocolo IP personalizados (no es necesario que sean puertos estándar). Los dispositivos comprometidos son controlados directamente desde la GUI del builder.

Phishing de Facebook

Cuando se activa esta funcionalidad, 888 RAT desplegará actividad de phishing que parece provenir de la aplicación legítima de Facebook. Cuando el usuario toca el botón de aplicaciones recientes, esta actividad parecerá legítima, como se ve en la Figura 7. Sin embargo, después de una pulsación larga en el icono de esta aplicación, como se observa en la Figura 8, se revela el verdadero nombre de la aplicación responsable de la solicitud de inicio de sesión de Facebook.

Figura 7. Solicitud de phishing visible desde el menú reciente de la aplicación

Figura 8. Nombre real de la aplicación responsable del phishing

Detección

Desde 2018, los productos de ESET han identificado cientos de instancias en las que se desplegó 888 RAT en dispositivos Android. La Figura 9 muestra la distribución por países de estos datos de detección.

Figura 9. Detección de 888 RAT para Android por país

Conclusión

Esta campaña de espionaje está activa desde marzo de 2020 y tiene como único objetivo dispositivos Android. Apuntó al grupo étnico kurdo a través de por lo menos 28 publicaciones maliciosas en Facebook que llevarían a potenciales víctimas a descargar 888 RAT para Android o SpyNote. La mayoría de las publicaciones maliciosas de Facebook dieron lugar a descargas del RAT multiplataforma de uso comercial 888 RAT, que ha estado disponible en el mercado clandestino desde 2018. En 2019, una copia descifrada de la versión Pro del builder 888 RAT estuvo disponible en algunos sitios web y, desde entonces, detectamos cientos de casos en todo el mundo utilizando 888 RAT para Android.

IoCs

Nombres de archivos y de detección de ESET

SHA-1Detection name
87D44633F99A94C9B5F29F3FE75D04B2AB2508BAAndroid/Spy.Agent.APU
E47AB984C0EC7872B458AAD803BE637F3EE6F3CAAndroid/Spy.Agent.APG
9A8E5BAD246FC7B3D844BB434E8F697BE4A7A703Android/Spy.Agent.APU
FED42AB6665649787C6D6164A6787B13513B4A41Android/Spy.Agent.APU
8E2636F690CF67F44684887EB473A38398234430Android/Spy.Agent.APU
F0751F2715BEA20A6D5CD7E9792DBA0FA45394A5Android/Spy.Agent.APU
60280E2F6B940D5CBDC3D538E2B83751DB082F46Android/Spy.Agent.APU
F26ADA23739366B9EBBF08BABD5000023921465CAndroid/Spy.Agent.APU
4EBEED1CFAC3FE5A290FA5BF37E6C6072A6869A7Android/Spy.Agent.APU
A15F67430000E3F6B88CD965A01239066C0D23B3Android/Spy.Agent.BII
425AC620A0BB584D59303A62067CC6663C76A65DAndroid/Spy.Agent.APU
4159E3A4BD99067A5F8025FC59473AC53E07B213Android/Spy.Agent.APU
EF9D9BF1876270393615A21AB3917FCBE91BFC60Android/Spy.Agent.APU
231296E505BC40FFE7D308D528A3664BFFF069E4Android/Spy.Agent.APU
906AD75A05E4581A6D0E3984AD0E6524C235A592Android/Spy.Agent.APU
43F36C86BBD370884E77DFD496FD918A2D9E023DAndroid/Spy.Agent.APU
8B03CE129F6B1A913B6B143BB883FC79C2DF1904Android/Spy.Agent.APU

Perfiles de Facebook

https://www.facebook[.]com/android4kurd.official/
https://www.facebook[.]com/tech.info00
https://www.facebook[.]com/hewr.dliwar
https://www.facebook[.]com/husain.techno
https://www.facebook[.]com/zaid.abd.3785
https://www.facebook[.]com/profile.php?id=100039915424311

Grupos de Facebook

https://www.facebook[.]com/groups/478454429578545/
https://www.facebook[.]com/groups/275108075847240/
https://www.facebook[.]com/groups/751242802375989/
https://www.facebook[.]com/groups/238330163213092/

Enlaces de distribución

https://apkup[.]xyz/M.Muhammad.Mala.Fayaq_v0.0.6.apk
https://apkup[.]xyz/5G.VPN.Speed_v1.3.4.apk
https://apkup[.]xyz/Ftwa.Islam.Online_v1.0.1.apk
https://apkup[.]xyz/Al-Hashd_V1.0.3.apk
https://apkup[.]xyz/KitabAltawhid_v1.0.4.apk
https://apkup[.]xyz/KDP._V1.2.0.apk
https://apkup[.]xyz/Dosyay16October_V1.2.0.apk
https://apkup[.]xyz/MobileNumberFinder__v1.3.apk
https://f.top4top[.]io/f_LusheAYOtmjzehyF8seQcA/1613135449/1662yvch41.apk
https://a.top4top[.]io/f_Jlno8C2DLeaq71Fq1JV6hg/1613565568/1837ppxen1.apk
https://b.top4top[.]io/f_yTmhbte0yVNbhQbKyh12og/1613135036/1665tzq3x1.apk
https://j.top4top[.]io/f_FQCcQa5qAWHzK_0NdcGWyg/1613134993/16874mc5b1.apk
https://l.top4top[.]io/f_MHfW2u_xnKoXdhjPknEx5Q/1613134914/1703t5b2z1.apk
https://b.top4top[.]io/f_cbXNkHR0T0ZOsTecrGM6iA/1613134863/1703lttbn1.apk
https://k.top4top[.]io/f_bznLRhgqMpAmWXYp1LLrNQ/1613134409/1690q040d1.apk
https://d.top4top[.]io/f_t7G4JjYm7_kzTsa0XYis6Q/1613134182/1749lglct1.apk
https://up4net[.]com/uploads/up4net-Xwakurk-1-0-4.apk

Enlaces de phishing

https://apkup[.]xyz/snapchat/login.html

Técnicas de MITRE ATT&CK

Esta tabla cubre solamente las TTP correspondientes a 888 RAT, y fue creada utilizando la versión 9 del framework ATT&CK.

TacticIDNameDescription
Initial AccessT1444Masquerade as Legitimate ApplicationThe 888 RAT impersonates legitimate applications.
PersistenceT1402Broadcast ReceiversThe 888 RAT listens for the BOOT_COMPLETED broadcast, ensuring that the app's functionality will be activated every time the device starts.
Defense EvasionT1508Suppress Application IconThe 888 RAT hides its icon.
T1447Delete Device DataThe 888 RAT can delete gathered and temporary stored files and any other specific file.
Credential AccessT1411Input PromptThe 888 RAT tries to phish Facebook credentials.
DiscoveryT1418Application DiscoveryThe 888 RAT obtains a list of installed apps.
T1420File and Directory DiscoveryThe 888 RAT identifies content of specific directories.
CollectionT1433Access Call LogThe 888 RAT exfiltrates call log history.
T1430Location TrackingThe 888 RAT retrieves device location.
T1432Access Contact ListThe 888 RAT exfiltrates the victim’s contact list.
T1429Capture AudioThe 888 RAT can record audio from surroundings and calls.
T1512Capture CameraThe 888 RAT can take pictures from the front or rear cameras.
T1412Capture SMS MessagesThe 888 RAT can exfiltrate sent and received SMS messages.
T1533Data from Local SystemThe 888 RAT exfiltrates files with particular extensions from external media.
T1513Screen CaptureThe 888 RAT can take screenshots.
Command And ControlT1509Uncommonly Used PortThe 888 RAT communicates with its C&C over port 4000.
ImpactT1582SMS ControlThe 888 RAT adversary can send SMS messages.
T1447Delete Device DataThe 888 RAT can delete attacker-specified files from the device.

 

Newsletter

Discusión