GravityRAT Mobile Malware

Από τον Αύγουστο του 2022, εντοπίστηκε μια νέα καμπάνια κακόβουλου λογισμικού Android, η οποία εξαπλώνει την τελευταία έκδοση του GravityRAT και θέτει σε κίνδυνο τις κινητές συσκευές. Το κακόβουλο λογισμικό χρησιμοποιεί μια trojanized εφαρμογή συνομιλίας που ονομάζεται «BingeChat» ως μέσο μόλυνσης, με στόχο να κλέψει δεδομένα από τις συσκευές των θυμάτων.

Η τελευταία έκδοση του GravityRAT έρχεται με αξιοσημείωτες βελτιώσεις, συμπεριλαμβανομένης της δυνατότητας κλοπής αρχείων αντιγράφων ασφαλείας WhatsApp. Αυτά τα αρχεία αντιγράφων ασφαλείας, που έχουν σχεδιαστεί για να βοηθούν τους χρήστες να μεταφέρουν το ιστορικό μηνυμάτων, τα αρχεία πολυμέσων και τα δεδομένα τους σε νέες συσκευές, μπορούν να περιέχουν ευαίσθητες πληροφορίες όπως κείμενο, βίντεο, φωτογραφίες, έγγραφα και άλλα, όλα σε μη κρυπτογραφημένη μορφή.

Ενώ το GravityRAT ήταν ενεργό τουλάχιστον από το 2015, άρχισε να στοχεύει συσκευές Android μόλις το 2020. Οι χειριστές πίσω από αυτό το κακόβουλο λογισμικό, γνωστό ως «SpaceCobra», χρησιμοποιούν αποκλειστικά το spyware για τις εξαιρετικά στοχευμένες λειτουργίες τους.

Οι κυβερνοεγκληματίες συγκαλύπτουν το GravityRAT ως χρήσιμες εφαρμογές συνομιλίας

Το λογισμικό κατασκοπείας, μεταμφιεσμένο ως η εφαρμογή συνομιλίας «BingeChat», ισχυρίζεται ότι προσφέρει κρυπτογράφηση από άκρο σε άκρο και διαθέτει μια φιλική προς το χρήστη διεπαφή μαζί με προηγμένες λειτουργίες. Η κακόβουλη εφαρμογή διανέμεται κυρίως μέσω του ιστότοπου 'bingechat.net' και πιθανώς άλλων τομέων ή καναλιών. Ωστόσο, η πρόσβαση στη λήψη περιορίζεται στα προσκεκλημένα άτομα που πρέπει να παράσχουν έγκυρα διαπιστευτήρια ή να εγγραφούν νέο λογαριασμό.

Επί του παρόντος, οι εγγραφές για την εφαρμογή έχουν κλείσει, περιορίζοντας τη διανομή της σε συγκεκριμένους στόχους. Αυτή η μέθοδος όχι μόνο επιτρέπει στους δράστες να παραδώσουν το κακόβουλο λογισμικό επιλεκτικά, αλλά επίσης αποτελεί πρόκληση για τους ερευνητές που αναζητούν ένα αντίγραφο για ανάλυση.

Σε ένα επαναλαμβανόμενο μοτίβο, οι χειριστές του GravityRAT κατέφυγαν στην προώθηση κακόβουλων APK Android χρησιμοποιώντας μια εφαρμογή συνομιλίας με το όνομα "SoSafe" το 2021 και πριν από αυτό, μια άλλη εφαρμογή που ονομάζεται "Travel Mate Pro". Αυτές οι εφαρμογές ήταν τρωανοποιημένες εκδόσεις του OMEMO IM, μιας νόμιμης εφαρμογής instant messenger ανοιχτού κώδικα για Android.

Συγκεκριμένα, η SpaceCobra χρησιμοποίησε προηγουμένως το OMEMO IM ως βάση για μια άλλη δόλια εφαρμογή που ονομάζεται «Chatico». Το καλοκαίρι του 2022, το Chatico διανεμήθηκε σε στόχους μέσω του πλέον ανενεργού ιστότοπου «chatico.co.uk».

Βρέθηκαν κακόβουλες δυνατότητες στην απειλή GravityRAT Mobile

Κατά την εγκατάσταση στη συσκευή του στόχου, το BingeChat ζητά άδειες που ενέχουν εγγενείς κινδύνους. Αυτά τα δικαιώματα περιλαμβάνουν πρόσβαση σε επαφές, τοποθεσία, τηλέφωνο, SMS, χώρο αποθήκευσης, αρχεία καταγραφής κλήσεων, κάμερα και μικρόφωνο. Δεδομένου ότι αυτές οι άδειες απαιτούνται συνήθως από τις εφαρμογές άμεσων μηνυμάτων, είναι απίθανο να εγείρουν υποψίες ή να φαίνονται μη φυσιολογικές στο θύμα.

Πριν εγγραφεί ένας χρήστης στο BingeChat, η εφαρμογή στέλνει κρυφά σημαντικές πληροφορίες στον διακομιστή Command-and-Control (C2) του παράγοντα απειλής. Αυτό περιλαμβάνει αρχεία καταγραφής κλήσεων, λίστες επαφών, μηνύματα SMS, τοποθεσία συσκευής και βασικές πληροφορίες συσκευής. Επιπλέον, το κακόβουλο λογισμικό κλέβει διάφορα αρχεία πολυμέσων και εγγράφων συγκεκριμένων τύπων αρχείων, όπως jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 και crypt32. Συγκεκριμένα, οι επεκτάσεις αρχείων crypt αντιστοιχούν στα αντίγραφα ασφαλείας του WhatsApp Messenger.

Επιπλέον, ένα από τα αξιοσημείωτα νέα χαρακτηριστικά του GravityRAT είναι η ικανότητά του να λαμβάνει τρεις διακριτές εντολές από τον διακομιστή C2. Αυτές οι εντολές περιλαμβάνουν "διαγραφή όλων των αρχείων" (μιας καθορισμένης επέκτασης), "διαγραφή όλων των επαφών" και "διαγραφή όλων των αρχείων καταγραφής κλήσεων". Αυτή η δυνατότητα παρέχει στον παράγοντα απειλής σημαντικό έλεγχο της παραβιασμένης συσκευής και του επιτρέπει να εκτελεί δυνητικά επιβλαβείς ενέργειες.

Οι χρήστες θα πρέπει να είναι ιδιαίτερα προσεκτικοί όταν χορηγούν άδειες σε εφαρμογές και να ελέγχουν προσεκτικά τις άδειες που ζητούνται από οποιαδήποτε εφαρμογή, ακόμη και φαινομενικά νόμιμες. Η τακτική ενημέρωση συσκευών, η χρήση αξιόπιστων λύσεων ασφαλείας και η επαγρύπνηση έναντι ύποπτης συμπεριφοράς εφαρμογών μπορεί να βοηθήσει στον μετριασμό των κινδύνων που σχετίζονται με τέτοιες εξελιγμένες καμπάνιες κακόβουλου λογισμικού.