GravityRAT 间谍软件席卷而来，感染 Android 和 macOS

2018年，思科Talos的研究人员发布了一篇关于间谍软件GravityRAT的帖子，该软件被用来攻击印度军队。印度计算机应急响应小组（CERT-IN）于2017年首次发现了该木马。它的创建者被认为是巴基斯坦的黑客组织。根据我们的信息，该活动至少自2015年以来一直活跃，并且以前针对Windows机器。但是，它在2018年发生了变化，将Android设备添加到目标列表中

恶意指南

在2019年的VirusTotal上，我们遇到了一个奇怪的Android间谍软件，经过分析，它似乎与GravityRAT连接。网络罪犯向Travel Mate添加了一个间谍模块，该模块是一个面向印度旅客的Android应用程序，其源代码可在Github上获得。

Google Play上的Clean Travel Mate应用程序*

攻击者使用了2018年10月在Github上发布的应用程序版本，添加了恶意代码并将名称更改为Travel Mate Pro。

该应用在启动时请求权限

木马的清单文件包括Services和Receiver，这不在Github的应用程序中

木马类列表

该间谍软件的功能相当标准:它向C&C服务器发送设备数据、联系人列表、电子邮件地址以及通话和文本日志。此外，特洛伊木马会在设备内存和连接的媒体中搜索扩展名为.jpg，.jpeg，.log，.png，.txt，.pdf，.xml，.doc，.xls，.xlsx 、.的文件。 ppt，.pptx，.docx和.opus，并将它们也发送到C＆C。

该恶意软件与“典型” Android间谍不同，因为应用的选择相当具体，并且恶意代码并不基于任何已知的间谍软件应用。因此，我们决定寻找与已知APT家庭的联系。

硬编码到木马的C&C地址

最简单的事情是做检查的C&C地址使用的木马:

• nortonupdates[.]online:64443
• nortonupdates[.]online:64443

事实证明，另一款恶意软件使用 n3.nortonupdates[.]online:64443 下载有关在计算机上找到的文件的数据（.doc，.ppt，.pdf，.xls，.docx，.pptx 、. xlsx）以及有关受感染机器的数据。借助Threat Intelligence，我们发现了此恶意软件：一种名为Enigma.ps1的恶意PowerShell脚本，可执行C＃代码。

使用VBS脚本运行PowerShell脚本：

接下来，我们检测到非常相似的VBS脚本模板，其名称为iV.dll，但没有指定的路径：

它位于由E-Crea Limited于09.05.2019签名的PyInstaller容器enigma.exe内。该安装程序是以安全文件共享应用程序的名义从站点enigma.net [.]下载的，以防止勒索软件木马：

除了VBS模板之外，容器内还有Windows Task Scheduler的XML模板，名称为aeS.dll，rsA.dll，eA.dll和eS.dll：

在主程序中，将所需的路径和名称写入模板，并添加了计划任务：

该程序与服务器在地址download.enigma.net [.] in / 90954349.php 中进行通信（请注意90954349A是单词“enigma”的MD5哈希的开头）。它具有简单的图形界面以及加密和文件交换逻辑：

Mac版本具有类似的功能，并添加了cron作业：

功能与enigma.exe相似的应用程序Titanium（titaniumx.co [in]）由Plano Logic Ltd于04.14.2019签署，证书于2019年8月8日被吊销。

除了Enigma和Titanium负载之外，还包含以下间谍软件特洛伊木马程序：

• Wpd.exe，由Plano Logic Ltd签名09.17.2018，证书被吊销
• Taskhostex.exe，由Theravada Solutions Ltd签署的02.18.2020
• WCNsvc.exe，由Plano Logic Ltd于09.17.2018签名，证书被吊销
• SMTPHost.exe，由Plano Logic Ltd签署于2018年12月12日，证书已撤销
• CSRP文件

他们的C＆C：

• windowsupdates[.]eu:46769
• windowsupdates[.]eu:46769
• mozillaupdates[.]com:46769
• mozillaupdates[.]com:46769
• mozillaupdates[.]us

我们专注于上述特洛伊木马使用的端口46769。GravityRAT系列使用了相同的端口。对nortonupdates [.] online的进一步搜索使我们找到了PE文件Xray.exe：

此版本收集了数据并将其发送到n1.nortonupdates [.] online和n2.nortonupdates [.] online。

域n * .nortonupdates [.] online解析为IP地址213.152.161 [.] 219。我们检查了被动DNS数据库中以前在此地址找到的其他域，并发现了可疑的u01.msoftserver [.] eu。通过对该域的搜索，我们找到了应用ZW.exe，该应用程序用Python编写并使用相同的PyInstaller打包（由Plano Logic Ltd于04.10.2019签名，证书于09.08.2019撤销）。

AES算法从文件Extras \ SystemEventBrokerSettings.dat中解密由ZW.exe调用的C＆C地址：

• msoftserver[.]eu:64443
• msoftserver[.]eu:64443
• msoftserver[.]eu:64443
• msoftserver[.]eu:64443

与服务器的通信在相对地址/ZULU_SERVER.php中进行。

间谍软件从服务器接收命令，包括：

• 获取有关系统的信息
• 在扩展名为.doc，.docx，.ppt，.pptx，.xls，.xlsx，.pdf，.odt，.odp和.ods的计算机和可移动磁盘上搜索文件，并将其上传到服务器
• 获取正在运行的进程的列表
• 拦截按键
• 截屏
• 执行任意的shell命令
• 录制音频（此版本未实现）
• 扫描端口

该代码是多平台的：

该特征路径还证实，我们正在处理GravityRAT的新版本：

Theravada Solutions Ltd分别于10.01.2019和02.20.2020签署了我们使用Threat Intelligence检测到的具有类似功能的较新恶意软件变种，即RW.exe和TW.exe；证书有效。

RW.exe在/ROMEO/5d907853.php的相对地址处调用了C＆C服务器，在/TANGO/e252a516.php的TW.exe处调用了C.C服务器，因此我们可以假定可执行文件名称中的第一个字母表示该版本。 C＆C服务器。

此实例的C＆C：

• mozillaupdates [。]我们
• mozillaupdates [。]我们
• mozillaupdates [。]我们
• mozillaupdates [。]我们
• microsoftupdate [。]在
• microsoftupdate [。]在
• microsoftupdate [。]在
• microsoftupdate [。]在

其他版本的GravityRAT

lolomycin&Co

除字符串“ lolomycin2017”（其字节表示用作组件lsass.exe中用于AES加密的盐）外，GravityRAT的较旧版本Whisper也包含在组件whisper.exe中，字符串“ lolomycin＆Co”可供使用作为使用有效负载解压缩下载的ZIP归档文件的密码：

通过此字符串，我们在应用程序中找到了较新的.NET版本的GravityRAT：

• WeShare
• TrustX
• Click2Chat
• Bollywood

新版本的GravityRAT

下文中检查了所有分发恶意软件的站点，这些站点都隐藏在Cloudflare的后面，以使其难以确定真实IP。

.NET版本

• Sharify
• MelodyMate (signed by E-Crea Limited on 11.05.2019)

Python版本

GoZap

另一个PyInstaller容器。请注意，代码明确提到了我们已经熟悉的潜在有效负载的名称：

根据特定的有效负载，将选择目标目录以及Windows Task Scheduler的任务名称：

| 有效负载名称 | 路径 | 任务名称 |
|—-|—-|
| ZW | ％APPDATA％\程序 | WinUpdate更新 |
| SMTP主机 | ％APPDATA％\ WinUpdates | 磁盘同步 |
| 无线网络 | ％APPDATA％\ System | Windows_startup_update |
| CSRP | ％APPDATA％\应用程序 | 防病毒更新 |
| Windows便携式设备 | ％APPDATA％\系统更新 | 系统更新 |

电子版本

以下版本是基于Electron框架的Windows和Mac的多平台版本。逻辑与以前相同：木马检查它是否在虚拟机上运行，收集有关计算机的信息，从服务器下载有效负载并添加计划任务。

• StrongBox（由E-Crea Limited于11.20.2019签署）
• TeraSpace（由E-Crea Limited于11.20.2019签署）
• OrangeVault
• CvStyler（由E- rea Limited签名02.20.2020）

Android版本

SavitaBhabi适用于Windows和Android。

Windows版本基于.NET。该功能是标准功能：特洛伊木马程序检查它是否在虚拟机上运行以及计算机上是否安装了安全软件，将有关计算机的信息传输到服务器，并作为响应接收命令。它使用Windows Task Scheduler启动有效负载。与服务器的通信是通过POST请求进行下载的（download.savitabhabi.co [.] in / A5739ED5.php）。

从同一站点下载的第二个文件是Android应用程序Savitabhabi.apk，它是带有嵌入式间谍软件模块的成人漫画。与Travel Mate Pro版本不同，这次似乎网络犯罪分子采取了自下而上的方法，并自行编写了该应用程序。

该应用在启动时请求可疑权限

这个Android应用程式的恶意功能与Travel Mate Pro相同；C＆C地址和代码（保留次要细节）也重合：

木马类列表

结论

2019年，《印度时报》发表了一篇有关2015-2018年期间用于分发GravityRAT的网络犯罪方法的文章。通过一个伪造的Facebook帐户联系了受害者，并要求他们安装一个伪装成安全信使的恶意应用程序，以便继续进行对话。在国防，警察以及其他部门和组织中，大约有100例感染员工的案例。

可以肯定地说，当前的GravityRAT活动使用了类似的感染方法-向目标个人发送指向恶意应用程序的链接。

在新的GravityRAT活动中看到的主要修改是多平台性：除了Windows，现在还有适用于Android和macOS的版本。网络罪犯也开始使用数字签名来使应用看起来更合法。