GravityRAT Mobile Malware

Siden august 2022 er en ny Android-malwarekampagne blevet opdaget, som spreder den seneste version af GravityRAT og kompromitterer mobile enheder. Malwaren bruger en trojaniseret chatapplikation ved navn 'BingeChat' som infektionsmiddel, der sigter mod at stjæle data fra ofrenes enheder.

Den seneste version af GravityRAT kommer med bemærkelsesværdige forbedringer, herunder muligheden for at stjæle WhatsApp backup-filer. Disse backupfiler, der er designet til at hjælpe brugere med at overføre deres beskedhistorik, mediefiler og data til nye enheder, kan indeholde følsomme oplysninger såsom tekst, videoer, fotos, dokumenter og mere, alt sammen i et ukrypteret format.

Mens GravityRAT har været aktiv siden mindst 2015, begyndte den først at målrette mod Android-enheder i 2020. Operatørerne bag denne malware, kendt som 'SpaceCobra', anvender udelukkende spyware til deres meget målrettede operationer.

Cyberkriminelle forklæder GravityRAT som nyttige chatapps

Spywaren, forklædt som chat-appen 'BingeChat', hævder at tilbyde ende-til-ende-kryptering og kan prale af en brugervenlig grænseflade sammen med avancerede funktioner. Den ondsindede app distribueres primært via hjemmesiden 'bingechat.net' og muligvis andre domæner eller kanaler. Adgang til download er dog begrænset til inviterede personer, som skal angive gyldige legitimationsoplysninger eller registrere en ny konto.

I øjeblikket er registreringer til appen lukket, hvilket begrænser distributionen til specifikke mål. Denne metode giver ikke kun gerningsmændene mulighed for at levere malwaren selektivt, men udgør også en udfordring for forskere, der søger at få en kopi til analyse.

I et tilbagevendende mønster greb GravityRATs operatører til at promovere ondsindede Android APK'er ved hjælp af en chat-app ved navn 'SoSafe' i 2021 og før det, en anden app kaldet 'Travel Mate Pro'. Disse apps var trojaniserede versioner af OMEMO IM, en legitim open source instant messenger-app til Android.

Navnlig SpaceCobra brugte tidligere OMEMO IM som grundlag for endnu en svigagtig app kaldet 'Chatico.' I sommeren 2022 blev Chatico distribueret til mål gennem det nu hedengangne websted 'chatico.co.uk'.

Ondsindede egenskaber fundet i GravityRAT Mobile Threat

Ved installation på målets enhed anmoder BingeChat om tilladelser, der medfører iboende risici. Disse tilladelser inkluderer adgang til kontakter, placering, telefon, SMS, lager, opkaldslogger, kamera og mikrofon. Da disse tilladelser typisk kræves af instant messaging-apps, er det usandsynligt, at de rejser mistanke eller fremstår unormale for offeret.

Før en bruger registrerer sig i BingeChat, sender appen i det skjulte afgørende information til trusselsaktørens Command-and-Control-server (C2). Dette omfatter opkaldslogger, kontaktlister, SMS-beskeder, enhedsplacering og grundlæggende enhedsoplysninger. Derudover stjæler malwaren forskellige medie- og dokumentfiler af specifikke filtyper, såsom jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 og crypt32. Navnlig svarer kryptfiludvidelserne til WhatsApp Messenger-sikkerhedskopier.

Ydermere er en af de bemærkelsesværdige nye funktioner ved GravityRAT dens evne til at modtage tre forskellige kommandoer fra C2-serveren. Disse kommandoer inkluderer 'slet alle filer' (i en specificeret udvidelse), 'slet alle kontakter' og 'slet alle opkaldslogger'. Denne evne giver trusselsaktøren betydelig kontrol over den kompromitterede enhed og giver dem mulighed for at udføre potentielt skadelige handlinger.

Brugere bør udvise den største forsigtighed, når de giver tilladelser til apps og omhyggeligt gennemgå de tilladelser, der anmodes om af enhver applikation, selv tilsyneladende legitime. Regelmæssig opdatering af enheder, anvendelse af pålidelige sikkerhedsløsninger og vagtsomhed over for mistænkelig app-adfærd kan hjælpe med at mindske de risici, der er forbundet med sådanne sofistikerede malware-kampagner.