Mobilní malware GravityRAT

Od srpna 2022 byla detekována nová kampaň proti malwaru pro Android, která šíří nejnovější verzi GravityRAT a kompromituje mobilní zařízení. Malware využívá jako prostředek infekce trojanizovanou chatovací aplikaci s názvem „BingeChat“, jejímž cílem je ukrást data ze zařízení obětí.

Nejnovější verze GravityRAT přichází s pozoruhodnými vylepšeními, včetně možnosti ukrást záložní soubory WhatsApp. Tyto záložní soubory, které mají uživatelům pomoci při přenosu historie zpráv, mediálních souborů a dat do nových zařízení, mohou obsahovat citlivé informace, jako jsou text, videa, fotografie, dokumenty a další, vše v nešifrovaném formátu.

Zatímco GravityRAT je aktivní minimálně od roku 2015, na zařízení Android se začal zaměřovat až v roce 2020. Operátoři za tímto malwarem, známým jako „SpaceCobra“, využívají spyware výhradně pro své vysoce cílené operace.

Kyberzločinci maskují GravityRAT jako užitečné chatovací aplikace

Spyware, maskovaný jako chatovací aplikace „BingeChat“, tvrdí, že nabízí šifrování typu end-to-end a může se pochlubit uživatelsky přívětivým rozhraním spolu s pokročilými funkcemi. Škodlivá aplikace je primárně distribuována prostřednictvím webové stránky „bingechat.net“ a případně dalších domén nebo kanálů. Přístup ke stažení je však omezen na pozvané osoby, které musí poskytnout platné přihlašovací údaje nebo si zaregistrovat nový účet.

V současné době jsou registrace aplikace uzavřeny, což omezuje její distribuci na konkrétní cíle. Tato metoda nejenže umožňuje pachatelům šířit malware selektivně, ale také představuje výzvu pro výzkumníky, kteří chtějí získat kopii pro analýzu.

V opakujícím se vzoru se operátoři GravityRAT v roce 2021 uchýlili k propagaci škodlivých Android APK pomocí chatovací aplikace s názvem „SoSafe“ a před tím další aplikace s názvem „Travel Mate Pro“. Tyto aplikace byly trojanizované verze OMEMO IM, legitimní open source aplikace pro rychlé zasílání zpráv pro Android.

Je pozoruhodné, že SpaceCobra dříve využívala OMEMO IM jako základ pro další podvodnou aplikaci s názvem „Chatico“. V létě 2022 bylo Chatico distribuováno cílům prostřednictvím dnes již neexistující webové stránky 'chatico.co.uk.

Škodlivé schopnosti nalezené v mobilní hrozbě GravityRAT

Po instalaci na cílové zařízení požaduje BingeChat oprávnění, která s sebou nesou inherentní rizika. Tato oprávnění zahrnují přístup ke kontaktům, poloze, telefonu, SMS, úložišti, protokolům hovorů, kameře a mikrofonu. Vzhledem k tomu, že tato oprávnění jsou obvykle vyžadována aplikacemi pro rychlé zasílání zpráv, je nepravděpodobné, že by vyvolaly podezření nebo se oběti zdály abnormální.

Než se uživatel zaregistruje na BingeChat, aplikace tajně odešle klíčové informace na server Command-and-Control (C2) aktéra hrozby. To zahrnuje protokoly hovorů, seznamy kontaktů, SMS zprávy, polohu zařízení a základní informace o zařízení. Malware navíc krade různá média a soubory dokumentů konkrétních typů souborů, jako jsou jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus. , crypt14, crypt12, crypt13, crypt18 a crypt32. Je pozoruhodné, že přípony souborů crypt odpovídají zálohám WhatsApp Messenger.

Kromě toho je jednou z pozoruhodných nových funkcí GravityRAT jeho schopnost přijímat tři různé příkazy ze serveru C2. Tyto příkazy zahrnují 'smazat všechny soubory' (se zadanou příponou), 'smazat všechny kontakty' a 'smazat všechny protokoly hovorů'. Tato schopnost poskytuje aktérovi hrozby významnou kontrolu nad napadeným zařízením a umožňuje mu provádět potenciálně škodlivé akce.

Uživatelé by měli být při udělování oprávnění aplikacím maximálně obezřetní a pečlivě kontrolovat oprávnění požadovaná jakoukoli aplikací, a to i zdánlivě legitimními. Pravidelná aktualizace zařízení, používání spolehlivých bezpečnostních řešení a ostražitost vůči podezřelému chování aplikací může pomoci zmírnit rizika spojená s tak sofistikovanými malwarovými kampaněmi.