GravityRAT Mobile البرامج الضارة

منذ آب (أغسطس) 2022 ، تم الكشف عن حملة برمجيات خبيثة جديدة على نظام Android ، تنشر أحدث إصدار من GravityRAT وتعرض الأجهزة المحمولة للخطر. يستخدم البرنامج الضار تطبيق دردشة أحصنة طروادة يسمى "BingeChat" كوسيلة للعدوى ، بهدف سرقة البيانات من أجهزة الضحايا.

يأتي أحدث إصدار من GravityRAT مع تحسينات ملحوظة ، بما في ذلك القدرة على سرقة ملفات WhatsApp الاحتياطية. يمكن أن تحتوي ملفات النسخ الاحتياطي هذه ، المصممة لمساعدة المستخدمين في نقل محفوظات الرسائل وملفات الوسائط والبيانات إلى أجهزة جديدة ، على معلومات حساسة مثل النصوص ومقاطع الفيديو والصور والمستندات وغير ذلك ، كل ذلك بتنسيق غير مشفر.

على الرغم من أن GravityRAT نشط منذ عام 2015 على الأقل ، إلا أنه بدأ فقط في استهداف أجهزة Android في عام 2020. يستخدم المشغلون الذين يقفون وراء هذه البرامج الضارة ، والمعروفة باسم "SpaceCobra" ، برامج التجسس حصريًا لعملياتهم عالية الاستهداف.

يتنكر مجرمو الإنترنت GravityRAT على أنها تطبيقات دردشة مفيدة

يزعم برنامج التجسس ، المتخفي باسم تطبيق الدردشة "BingeChat" ، أنه يوفر تشفيرًا من طرف إلى طرف ويفتخر بواجهة سهلة الاستخدام إلى جانب ميزات متقدمة. يتم توزيع التطبيق الضار بشكل أساسي من خلال موقع "bingechat.net" وربما المجالات أو القنوات الأخرى. ومع ذلك ، يقتصر الوصول إلى التنزيل على الأفراد المدعوين الذين يجب عليهم تقديم بيانات اعتماد صالحة أو تسجيل حساب جديد.

حاليًا ، تم إغلاق تسجيلات التطبيق ، مما يحد من توزيعه على أهداف محددة. لا تسمح هذه الطريقة للجناة بتسليم البرامج الضارة بشكل انتقائي فحسب ، بل تشكل أيضًا تحديًا للباحثين الذين يسعون للحصول على نسخة للتحليل.

في نمط متكرر ، لجأ مشغلو GravityRAT إلى الترويج لملفات APK الضارة لنظام التشغيل Android باستخدام تطبيق دردشة يسمى SoSafe في عام 2021 وقبل ذلك ، كان هناك تطبيق آخر يسمى Travel Mate Pro. كانت هذه التطبيقات عبارة عن إصدارات أحصنة طروادة من OMEMO IM ، وهو تطبيق مراسلة فورية شرعي مفتوح المصدر لنظام Android.

والجدير بالذكر أن SpaceCobra استخدم في السابق OMEMO IM كأساس لتطبيق احتيالي آخر يسمى "Chatico". في صيف عام 2022 ، تم توزيع Chatico على الأهداف من خلال موقع الويب البائد "chatico.co.uk".

القدرات الخبيثة الموجودة في تهديد GravityRAT Mobile

عند التثبيت على جهاز الهدف ، يطلب BingeChat أذونات تحمل مخاطر كامنة. تتضمن هذه الأذونات الوصول إلى جهات الاتصال والموقع والهاتف والرسائل القصيرة والتخزين وسجلات المكالمات والكاميرا والميكروفون. نظرًا لأن هذه الأذونات مطلوبة عادةً بواسطة تطبيقات المراسلة الفورية ، فمن غير المرجح أن تثير الشكوك أو تبدو غير طبيعية للضحية.

قبل أن يقوم المستخدم بالتسجيل في BingeChat ، يرسل التطبيق خلسة معلومات مهمة إلى خادم الأوامر والتحكم (C2) الخاص بالتهديد. يتضمن ذلك سجلات المكالمات وقوائم جهات الاتصال ورسائل SMS وموقع الجهاز ومعلومات الجهاز الأساسية. بالإضافة إلى ذلك ، تسرق البرامج الضارة ملفات وسائط ومستندات مختلفة لأنواع ملفات معينة ، مثل jpg و jpeg و log و png و PNG و JPG و JPEG و txt و pdf و xml و doc و xls و xlsx و ppt و pptx و docx و opus و crypt14 و crypt12 و crypt13 و crypt18 و crypt32. والجدير بالذكر أن امتدادات ملفات التشفير تتوافق مع النسخ الاحتياطية لتطبيق WhatsApp Messenger.

علاوة على ذلك ، تتمثل إحدى الميزات الجديدة البارزة لـ GravityRAT في قدرته على تلقي ثلاثة أوامر مميزة من خادم C2. تتضمن هذه الأوامر "حذف جميع الملفات" (من امتداد محدد) ، و "حذف جميع جهات الاتصال" ، و "حذف جميع سجلات المكالمات". تمنح هذه القدرة الفاعل المهدد سيطرة كبيرة على الجهاز المخترق وتسمح له بتنفيذ الإجراءات التي قد تكون ضارة.

يجب على المستخدمين توخي أقصى درجات الحذر عند منح الأذونات للتطبيقات ومراجعة الأذونات التي يطلبها أي تطبيق بعناية ، حتى تلك التي تبدو شرعية. يمكن أن يساعد تحديث الأجهزة بانتظام واستخدام حلول أمان موثوقة واليقظة تجاه سلوك التطبيق المشبوه في التخفيف من المخاطر المرتبطة بحملات البرامج الضارة المعقدة.