GravityRAT Mobile Malware

От август 2022 г. е открита нова кампания за злонамерен софтуер за Android, която разпространява най-новата версия на GravityRAT и компрометира мобилни устройства. Зловредният софтуер използва троянизирано приложение за чат, наречено „BingeChat“, като средство за заразяване, целящо да открадне данни от устройствата на жертвите.

Най-новата версия на GravityRAT идва със забележителни подобрения, включително възможността за кражба на архивни файлове на WhatsApp. Тези архивни файлове, предназначени да помогнат на потребителите при прехвърлянето на тяхната хронология на съобщенията, мултимедийни файлове и данни на нови устройства, могат да съдържат чувствителна информация като текст, видеоклипове, снимки, документи и други, всички в некриптиран формат.

Въпреки че GravityRAT е активен най-малко от 2015 г., той започна да се насочва към устройства с Android едва през 2020 г. Операторите зад този зловреден софтуер, известен като „SpaceCobra“, използват изключително шпионския софтуер за своите силно насочени операции.

Киберпрестъпниците маскират GravityRAT като полезни приложения за чат

Шпионският софтуер, маскиран като приложението за чат „BingeChat“, твърди, че предлага криптиране от край до край и може да се похвали с удобен за потребителя интерфейс заедно с разширени функции. Злонамереното приложение се разпространява предимно чрез уебсайта „bingechat.net“ и вероятно други домейни или канали. Достъпът до изтеглянето обаче е ограничен до поканени лица, които трябва да предоставят валидни идентификационни данни или да регистрират нов акаунт.

Понастоящем регистрациите за приложението са затворени, което ограничава разпространението му до конкретни цели. Този метод не само позволява на извършителите да доставят злонамерения софтуер селективно, но също така представлява предизвикателство за изследователите, които искат да получат копие за анализ.

В повтарящ се модел операторите на GravityRAT прибягнаха до популяризиране на злонамерени APK файлове за Android, използвайки приложение за чат, наречено „SoSafe“ през 2021 г., а преди това друго приложение, наречено „Travel Mate Pro“. Тези приложения бяха троянизирани версии на OMEMO IM, легитимно приложение за незабавни съобщения с отворен код за Android.

Трябва да се отбележи, че преди това SpaceCobra използва OMEMO IM като основа за още едно измамно приложение, наречено „Chatico“. През лятото на 2022 г. Chatico беше разпространен до цели чрез вече несъществуващия уебсайт „chatico.co.uk“.

Злонамерени способности, открити в мобилната заплаха GravityRAT

При инсталиране на целевото устройство, BingeChat изисква разрешения, които носят присъщи рискове. Тези разрешения включват достъп до контакти, местоположение, телефон, SMS, съхранение, регистър на обажданията, камера и микрофон. Тъй като тези разрешения обикновено се изискват от приложенията за незабавни съобщения, те едва ли ще предизвикат подозрения или ще изглеждат необичайни за жертвата.

Преди потребителят да се регистрира в BingeChat, приложението тайно изпраща важна информация до командния и контролен (C2) сървър на заплахата. Това включва регистър на обажданията, списъци с контакти, SMS съобщения, местоположение на устройството и основна информация за устройството. Освен това зловредният софтуер краде различни медийни и документни файлове от специфични файлови типове, като jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 и crypt32. Трябва да се отбележи, че разширенията на криптираните файлове съответстват на архивите на WhatsApp Messenger.

Освен това, една от забележителните нови характеристики на GravityRAT е способността му да получава три отделни команди от сървъра C2. Тези команди включват „изтриване на всички файлове“ (с определено разширение), „изтриване на всички контакти“ и „изтриване на всички дневници на обажданията“. Тази възможност предоставя на заплахата значителен контрол върху компрометираното устройство и му позволява да изпълнява потенциално вредни действия.

Потребителите трябва да бъдат изключително внимателни, когато дават разрешения на приложения и внимателно да преглеждат разрешенията, поискани от всяко приложение, дори привидно легитимни. Редовното актуализиране на устройства, използването на надеждни решения за сигурност и бдителността срещу подозрително поведение на приложения може да помогне за смекчаване на рисковете, свързани с такива сложни кампании за злонамерен софтуер.