2013-12-17 - Connect the dots

Nitmo ? No ! ... just "iBanking" used by a (the?) Neverquest/Vawtrak team



Vawtrak (Neverquest) got some attention at end of November via Kaspersky.
It was not that new in fact. Microsoft added the detection on 2013-05-02 for this evolution (See :  Symantec's post ) of Ursnif/Rovnix

Having images or network pattern in mind when thinking to a threat, helps (me at least) ... so here is server side for Rovnix/Ursniff
Ursnif C&C Panel Begining of May 2013
 (was sharing server infrastructure and distribution with a Cridex/Bugat)
It's same Panel as Rovnix.b C&C
I posted on Kernel Mode  2013-02-24


First mention of Vawtrak in this blog is in the Magnitude post.
Today in Nuclear Pack :

Vawtrak Pushed in Nuclear Pack 2013-12-17
(3 vulns, 3 hits)
Vawtrak Calling Home


That sample ( aa9a18c9a519967e5bb55d908912ab5b ) tried to talk to those hosts :

185.6.80.170 sandoxon.com
61422 | 185.6.80.0/24 | TD-VITA | RU | - | TD-VITA LLC.

195.137.188.50
195.137.188.52
195.137.188.59 sparkys3.net
35657 | 195.137.188.0/24 | PADI | IL | - | PADI-2 NETOWORK

195.191.56.248
50395 | 195.191.56.0/23 | ALTNET-UA | UA | - | PE KOLOBOV ALEKSANDR GRIGORIEVICH

Probing server  I found a QRCode  (allow to know why I link this to neverquest)

QR_Code spotted on Vawtrak C&C
Scanned with Phone
http://chasemob .com/install/Chase.apk 1f68addf38f63fe821b237bc7baabb3d
195.137.188.62
35657 | 195.137.188.0/24 | PADI | IL | - | PADI-2 NETOWORK



"Snipshot" from VirusTotal


Some Resources :




Permissions

APK installation on Phone
(after allowing installation from untrusted sources)
Subset of Permissions while installing

Once installed it try to get Administrators rights on the device :

"Activate device administrator"
Why not trying :)

Installed

Mobile Security
Fake Security Scan


"Mobile Security" all permissions as seens after installation

Classes

webServiceRobot.class
Condition to call home "i am"
(sent sms > 1 )
Http call and Sms are being sent.



Piece of code to manage Audio records
"Read command from server"
Strings full of meaning
(note the TMN mentions)


Want to copy paste ?
+447781470730
/iBanking/sms/saveSMS.php
/iBanking/sms/sync.php
/iBanking/getList.php
/iBanking/sendFile.php
/iBanking/sms/ping.php
/iBanking/sms/index.php
Give hints on what we are facing :)


Some more strings

myredskins.net - mynamesmith.com
89.45.14.100
39743 | 89.45.14.0/24 | VOXILITY | MD | - | IM INTERNET MEDIA SRL
(note...there is at least another Android C2 in that /24)

Alive ?
Alive! :)
Hum Nitmo ?... not more than Qitmo,  Citmo or Zitmo ...
It' just "iBanking" used by a "Neverquest" team...

Advert for "iBanking" on Underground
(covered by Dancho Danchev on 2013-10-25)
Text of the Advert :
------------------------------------------
Уважаемые господа, рады Вам предложить бота под мобильные устройства. В данный момент бот реализован под операционную систему Android, так же рады вам сообщить, что разработка Blackberry ведется полным ходом, и первые бета версии будут в ближайший месяц, всем клиентам по Android боту на Blackberry будут существенные скидки.
Теперь вкратце расскажу как это работает, для тех кто не знает, после установки на мобильное устройство, приложение моментально отстукивает в удобную web-panel при наличии 3g или wi-fi, а так же отсылает SMS на управляющий номер с текстом I am (ICCID+MODEL PHONE). Наш бот реализован таким образом, что после попадания в систему юзер продолжает спокойно пользоваться своим телефоном, все функции ему доступны в штатном режиме. В отличии от знаменитого Perkele у нас нету заточки под определенные номера для перехвата, наш бот работает через систему команд. Команды даются любым удобным для Вас способом, либо из web panel при наличии интернета, либо SMS с управляющего номера.

Функционал:
-Грабинг всей информации о жертве (Phone Number,ICCID,IMEI,IMSI,Model,OS)
- Перехват всех входящих SMS и отправка их в web-panel и на управляющий номер.
- Переадресация звонков на любой номер
- Грабинг всех входящих и исходящих SMS
- Грабинг всех входящих и исходящих ВЫЗОВОВ
- Грабинг книжки с КОНТАКТАМИ (имена и номера)
- Запись аудиофайла, отправка его на сервер( знаем, что происходит вокруг)
- Отправка SMS на любой номер без ведома владельца
- Приложение невозможно удалить, если владелец при установке дал права админа.
- Функция сноса системы до заводских настроек (при наличии прав админа)
Наши кодеры с легкостью доработают для Вас нужный вам функционал.

Удобная Web Panel:
Вот так выглядит панелька для работы с ботами, кто хочет потрогать вживую, пишите, сделаю тестовый аккаунт.
http://www.tmn-security.pt/ris.JPG

Так же специально для Вас изготовили мануал по боту:
http://www.tmn-security.pt/manual.pdf


Итак, данный софт продается, цена бота 5000 $ , в комплекте вы получаете админскую панель настроенную на вашем сервере+управляющий веб номер+файл АПК с уникальным интерфейсом на любых языках разработанным под Ваши нужды, а так же постоянную поддержку продукта.В случае палевности, что бывает крайне редко, выходят платные чистки. Возможны варианты размещения софта в Google Play.
Так же, готовы рассмотреть варианты аренды и совместной работы за процент.( просьба не стучать, если у вас нету инжектов и вы не знаете, как это применять)
За более подробной информацией пишите мне в ПМ свой jabber для контакта, GPG и OTR жизненно необходимы.
------------------------------------------
Translated by google as :
------------------------------------------
Dear Sirs , we are glad to offer you a bot mobile devices. Currently bot implemented under the operating system Android, so glad to inform you that the development of Blackberry being in full swing and the first beta version will be in the next month , all customers on Android bot on Blackberry will be a substantial discount .
Now briefly explain how it works, for those who do not know , once installed on the mobile device , the application instantly knock a comfortable web-panel in the presence of 3g or wi-fi, as well as outgoing SMS to the control room with the text I am (ICCID + MODEL PHONE). Our bot implemented in such a way that after being hit in the user continues to safely use your phone , all functions are available to him in the normal mode . Unlike the famous Perkele we do not have the optimizations for certain numbers to catch our boat runs through the teams. Teams are given in any convenient way for you , either from web panel in the presence of the Internet or SMS from the control room.

Features:
- Grabing all information about the victim (Phone Number, ICCID, IMEI, IMSI, Model, OS)
- Interception of incoming SMS messages and sending them to the web-panel and the control room.
- Call forwarding to any number
- Grabing all incoming and outgoing SMS
- Grabing all incoming and outgoing calls
- Grabing books with contacts ( names and numbers )
- Record audio , sending it to the server ( know what is happening around)
- Sending SMS to any room without the owner's knowledge
- The application can not be removed if the owner when installing given administrator rights .
- Function demolition system to the factory settings (if the admin rights )
Our coders with ease for you finalize your desired functionality.

Easy Web Panel:
Here is the socket to work with bots who wants to touch live , write, do a test account .
http://www.tmn-security.pt/ris.JPG

Just for you produced a manual on the bot :
http://www.tmn-security.pt/manual.pdf


So, this software is sold , the price of $ 5000 bot , complete you get the admin panel is configured on your server + web control room + APK file with a unique interface in any language designed for your needs , as well as ongoing support produkta.V palevnosti case , which is rare , out cleaning fee . Chance Lodging software in Google Play.
Just willing to consider lease options and work together for a percentage . ( Please do not knock if you do not have injects and you do not know how to apply it )
For more information, send me a PM to contact your jabber , GPG and OTR vital.
------------------------------------------

Image of C&C published by seller

Screenshot of the PDF featured in the advert
Update 2013-11-15
------------------------------------------
UPDATE
Уважаемые господа, рады Вам сообщить, что вышел апдейт под андроид. Всем нынешним клиентам срочно стучать за обновлением. А тем кто еще не приобрел бота есть возможность это сделать по цене 4000 долларов до 24-00 вторника. Со вторника бот будет продаваться по цене 5к$

В нынешнем апдейте добавлены следующие функции:
1. Отправка оператора
2. Отправка IP адреса
3. Ответная СМС при получении команды "перехват СМС"
4. Проверка URL на доступность с мобильного интернета
5. Смена управляющего номера с любого номера телефона секретной смс-командой (не потеряем наших ботов никогда)
6. Смена/дополнение дополнительного админ домена
7. Новая админская панель, новые возможности в админке.

Так же в следующем апдейте ожидается
1. Доступ к фоту.
2. Доступ к гео локации.
3. Доступ к списку программ.


Ждем вас
------------------------------------------
Translated by google as :
------------------------------------------
UPDATE
Dear Sirs , we are glad to inform you that an update was released for android . All current customers urgently pounding for an update. And for those who have not purchased the bot has the opportunity to do so at the price of $ 4000 to 24-00 Tuesday . Tuesday bot will be priced at $ 5k

In this apdeyte added the following features:
1. shipping operator
2 . Sending IP Addresses
3 . Response when receiving SMS command " SMS interception "
4 . Test URL for mobile Internet accessibility
5 . Change of control rooms from any phone secret SMS command ( do not lose our bots ever)
6. Change / add additional domain admin
7. New admins panel , new features in the admin .

Just next expected apdeyte
1. Access to Fautua .
2 . Access to geo location.
3 . Access to the program list .


Waiting for you
------------------------------------------



We know how this gang wants to bypass the SMS based two factor authentication of your Bank.

Files: Vawtrak sample & APK (owncloud via goo.gl)
(note: feedback always welcome. I want to learn ! :) )

Read more:
Dangerous New Banking Trojan Neverquest Is an Evolution of an Older Threat - 2013-12-04 - Symantec
Backdoor:Win32/Vawtrak.A - 2013-05-02 - Malware Protection Center - Microsoft
Cybercriminals release new commercially available Android/BlackBerry supporting mobile malware bot - 2013-11-25 - Dancho Danchev - Webroot
Neverquest Trojan: Built to Steal from Hundreds of Banks - 2013-11-29 - Serge Malenkovitch - Kaspersky

BOTNET
Mobile bot Chase.apk Mobile Security Nitmo iBanking Vawtrak