GravityRAT 間諜軟件席卷而來，感染 Android 和 macOS

2018年，思科Talos的研究人員發布了一篇關于間諜軟件GravityRAT的帖子，該軟件被用來攻擊印度軍隊。印度計算機應急響應小組（CERT-IN）于2017年首次發現了該木馬。它的創建者被認為是巴基斯坦的黑客組織。根據我們的信息，該活動至少自2015年以來一直活躍，并且以前針對Windows機器。但是，它在2018年發生了變化，將Android設備添加到目標列表中

惡意指南

在2019年的VirusTotal上，我們遇到了一個奇怪的Android間諜軟件，經過分析，它似乎與GravityRAT連接。網絡罪犯向Travel Mate添加了一個間諜模塊，該模塊是一個面向印度旅客的Android應用程序，其源代碼可在Github上獲得。

Google Play上的Clean Travel Mate應用程序*

攻擊者使用了2018年10月在Github上發布的應用程序版本，添加了惡意代碼并將名稱更改為Travel Mate Pro。

該應用在啟動時請求權限

木馬的清單文件包括Services和Receiver，這不在Github的應用程序中

木馬類列表

該間諜軟件的功能相當標準:它向C&C服務器發送設備數據、聯系人列表、電子郵件地址以及通話和文本日志。此外，特洛伊木馬會在設備內存和連接的媒體中搜索擴展名為.jpg，.jpeg，.log，.png，.txt，.pdf，.xml，.doc，.xls，.xlsx 、.的文件。 ppt，.pptx，.docx和.opus，并將它們也發送到C＆C。

該惡意軟件與“典型” Android間諜不同，因為應用的選擇相當具體，并且惡意代碼并不基于任何已知的間諜軟件應用。因此，我們決定尋找與已知APT家庭的聯系。

硬編碼到木馬的C&C地址

最簡單的事情是做檢查的C&C地址使用的木馬:

• nortonupdates[.]online:64443
• nortonupdates[.]online:64443

事實證明，另一款惡意軟件使用 n3.nortonupdates[.]online:64443 下載有關在計算機上找到的文件的數據（.doc，.ppt，.pdf，.xls，.docx，.pptx 、. xlsx）以及有關受感染機器的數據。借助Threat Intelligence，我們發現了此惡意軟件：一種名為Enigma.ps1的惡意PowerShell腳本，可執行C＃代碼。

使用VBS腳本運行PowerShell腳本：

接下來，我們檢測到非常相似的VBS腳本模板，其名稱為iV.dll，但沒有指定的路徑：

它位于由E-Crea Limited于09.05.2019簽名的PyInstaller容器enigma.exe內。該安裝程序是以安全文件共享應用程序的名義從站點enigma.net [.]下載的，以防止勒索軟件木馬：

除了VBS模板之外，容器內還有Windows Task Scheduler的XML模板，名稱為aeS.dll，rsA.dll，eA.dll和eS.dll：

在主程序中，將所需的路徑和名稱寫入模板，并添加了計劃任務：

該程序與服務器在地址download.enigma.net [.] in / 90954349.php 中進行通信（請注意90954349A是單詞“enigma”的MD5哈希的開頭）。它具有簡單的圖形界面以及加密和文件交換邏輯：

Mac版本具有類似的功能，并添加了cron作業：

功能與enigma.exe相似的應用程序Titanium（titaniumx.co [in]）由Plano Logic Ltd于04.14.2019簽署，證書于2019年8月8日被吊銷。

除了Enigma和Titanium負載之外，還包含以下間諜軟件特洛伊木馬程序：

• Wpd.exe，由Plano Logic Ltd簽名09.17.2018，證書被吊銷
• Taskhostex.exe，由Theravada Solutions Ltd簽署的02.18.2020
• WCNsvc.exe，由Plano Logic Ltd于09.17.2018簽名，證書被吊銷
• SMTPHost.exe，由Plano Logic Ltd簽署于2018年12月12日，證書已撤銷
• CSRP文件

他們的C＆C：

• windowsupdates[.]eu:46769
• windowsupdates[.]eu:46769
• mozillaupdates[.]com:46769
• mozillaupdates[.]com:46769
• mozillaupdates[.]us

我們專注于上述特洛伊木馬使用的端口46769。GravityRAT系列使用了相同的端口。對nortonupdates [.] online的進一步搜索使我們找到了PE文件Xray.exe：

此版本收集了數據并將其發送到n1.nortonupdates [.] online和n2.nortonupdates [.] online。

域n * .nortonupdates [.] online解析為IP地址213.152.161 [.] 219。我們檢查了被動DNS數據庫中以前在此地址找到的其他域，并發現了可疑的u01.msoftserver [.] eu。通過對該域的搜索，我們找到了應用ZW.exe，該應用程序用Python編寫并使用相同的PyInstaller打包（由Plano Logic Ltd于04.10.2019簽名，證書于09.08.2019撤銷）。

AES算法從文件Extras \ SystemEventBrokerSettings.dat中解密由ZW.exe調用的C＆C地址：

• msoftserver[.]eu:64443
• msoftserver[.]eu:64443
• msoftserver[.]eu:64443
• msoftserver[.]eu:64443

與服務器的通信在相對地址/ZULU_SERVER.php中進行。

間諜軟件從服務器接收命令，包括：

• 獲取有關系統的信息
• 在擴展名為.doc，.docx，.ppt，.pptx，.xls，.xlsx，.pdf，.odt，.odp和.ods的計算機和可移動磁盤上搜索文件，并將其上傳到服務器
• 獲取正在運行的進程的列表
• 攔截按鍵
• 截屏
• 執行任意的shell命令
• 錄制音頻（此版本未實現）
• 掃描端口

該代碼是多平臺的：

該特征路徑還證實，我們正在處理GravityRAT的新版本：

Theravada Solutions Ltd分別于10.01.2019和02.20.2020簽署了我們使用Threat Intelligence檢測到的具有類似功能的較新惡意軟件變種，即RW.exe和TW.exe；證書有效。

RW.exe在/ROMEO/5d907853.php的相對地址處調用了C＆C服務器，在/TANGO/e252a516.php的TW.exe處調用了C.C服務器，因此我們可以假定可執行文件名稱中的第一個字母表示該版本。 C＆C服務器。

此實例的C＆C：

• mozillaupdates [。]我們
• mozillaupdates [。]我們
• mozillaupdates [。]我們
• mozillaupdates [。]我們
• microsoftupdate [。]在
• microsoftupdate [。]在
• microsoftupdate [。]在
• microsoftupdate [。]在

其他版本的GravityRAT

lolomycin&Co

除字符串“ lolomycin2017”（其字節表示用作組件lsass.exe中用于AES加密的鹽）外，GravityRAT的較舊版本Whisper也包含在組件whisper.exe中，字符串“ lolomycin＆Co”可供使用作為使用有效負載解壓縮下載的ZIP歸檔文件的密碼：

通過此字符串，我們在應用程序中找到了較新的.NET版本的GravityRAT：

• WeShare
• TrustX
• Click2Chat
• Bollywood

新版本的GravityRAT

下文中檢查了所有分發惡意軟件的站點，這些站點都隱藏在Cloudflare的后面，以使其難以確定真實IP。

.NET版本

• Sharify
• MelodyMate (signed by E-Crea Limited on 11.05.2019)

Python版本

GoZap

另一個PyInstaller容器。請注意，代碼明確提到了我們已經熟悉的潛在有效負載的名稱：

根據特定的有效負載，將選擇目標目錄以及Windows Task Scheduler的任務名稱：

| 有效負載名稱 | 路徑 | 任務名稱 |
|—-|—-|
| ZW | ％APPDATA％\程序 | WinUpdate更新 |
| SMTP主機 | ％APPDATA％\ WinUpdates | 磁盤同步 |
| 無線網絡 | ％APPDATA％\ System | Windows_startup_update |
| CSRP | ％APPDATA％\應用程序 | 防病毒更新 |
| Windows便攜式設備 | ％APPDATA％\系統更新 | 系統更新 |

電子版本

以下版本是基于Electron框架的Windows和Mac的多平臺版本。邏輯與以前相同：木馬檢查它是否在虛擬機上運行，收集有關計算機的信息，從服務器下載有效負載并添加計劃任務。

• StrongBox（由E-Crea Limited于11.20.2019簽署）
• TeraSpace（由E-Crea Limited于11.20.2019簽署）
• OrangeVault
• CvStyler（由E- rea Limited簽名02.20.2020）

Android版本

SavitaBhabi適用于Windows和Android。

Windows版本基于.NET。該功能是標準功能：特洛伊木馬程序檢查它是否在虛擬機上運行以及計算機上是否安裝了安全軟件，將有關計算機的信息傳輸到服務器，并作為響應接收命令。它使用Windows Task Scheduler啟動有效負載。與服務器的通信是通過POST請求進行下載的（download.savitabhabi.co [.] in / A5739ED5.php）。

從同一站點下載的第二個文件是Android應用程序Savitabhabi.apk，它是帶有嵌入式間諜軟件模塊的成人漫畫。與Travel Mate Pro版本不同，這次似乎網絡犯罪分子采取了自下而上的方法，并自行編寫了該應用程序。

該應用在啟動時請求可疑權限

這個Android應用程式的惡意功能與Travel Mate Pro相同；C＆C地址和代碼（保留次要細節）也重合：

木馬類列表

結論

2019年，《印度時報》發表了一篇有關2015-2018年期間用于分發GravityRAT的網絡犯罪方法的文章。通過一個偽造的Facebook帳戶聯系了受害者，并要求他們安裝一個偽裝成安全信使的惡意應用程序，以便繼續進行對話。在國防，警察以及其他部門和組織中，大約有100例感染員工的案例。

可以肯定地說，當前的GravityRAT活動使用了類似的感染方法-向目標個人發送指向惡意應用程序的鏈接。

在新的GravityRAT活動中看到的主要修改是多平臺性：除了Windows，現在還有適用于Android和macOS的版本。網絡罪犯也開始使用數字簽名來使應用看起來更合法。