GravityRAT mobiili pahavara

Alates 2022. aasta augustist on tuvastatud uus Androidi pahavarakampaania, mis levitab GravityRATi uusimat versiooni ja ohustab mobiilseadmeid. Pahavara kasutab nakatumisvahendina troojastatud vestlusrakendust nimega BingeChat, mille eesmärk on varastada ohvrite seadmetest andmeid.

GravityRATi uusim versioon sisaldab märkimisväärseid täiustusi, sealhulgas võimalust WhatsAppi varukoopiafaile rikkuda. Need varukoopiafailid, mille eesmärk on aidata kasutajatel oma sõnumite ajalugu, meediumifaile ja andmeid uutesse seadmetesse üle kanda, võivad sisaldada tundlikku teavet, nagu tekst, videod, fotod, dokumendid ja palju muud, ja seda kõike krüptimata vormingus.

Kuigi GravityRAT on olnud aktiivne vähemalt 2015. aastast, alustas see Android-seadmete sihtimist alles 2020. aastal. Selle SpaceCobra nime all tuntud pahavara operaatorid kasutavad nuhkvara eranditult oma sihipäraste toimingute jaoks.

Küberkurjategijad maskeerivad GravityRATi kasulikeks vestlusrakendusteks

Nuhkvara, mis on maskeeritud vestlusrakenduseks "BingeChat", väidab, et pakub täielikku krüptimist ja sellel on kasutajasõbralik liides koos täiustatud funktsioonidega. Pahatahtlikku rakendust levitatakse peamiselt veebisaidi „bingechat.net” ja võib-olla ka muude domeenide või kanalite kaudu. Juurdepääs allalaadimisele on aga piiratud kutsutud isikutega, kes peavad esitama kehtivad mandaadid või registreerima uue konto.

Praegu on rakenduse registreerimine suletud, piirates selle levitamist konkreetsetele sihtmärkidele. See meetod mitte ainult ei võimalda kurjategijatel pahavara valikuliselt edastada, vaid on väljakutseks ka teadlastele, kes soovivad analüüsiks koopiat hankida.

Korduva mustri järgi kasutasid GravityRATi operaatorid pahatahtlike Androidi APK-de reklaamimist 2021. aastal vestlusrakenduse „SoSafe” abil ja enne seda teise rakenduse „Travel Mate Pro” abil. Need rakendused olid Androidi jaoks mõeldud legitiimse avatud lähtekoodiga kiirsõnumirakenduse OMEMO IM troojastatud versioonid.

Eelkõige kasutas SpaceCobra varem OMEMO IM-i alusena veel ühele petturlikule rakendusele nimega Chatico. 2022. aasta suvel levitati Chatico sihtmärkidele nüüdseks kadunud veebisaidi chatico.co.uk kaudu.

GravityRAT-i mobiiliohust leiti pahatahtlikud võimalused

Sihtmärgi seadmesse installimisel küsib BingeChat lubasid, millega kaasnevad loomupärased riskid. Need load hõlmavad juurdepääsu kontaktidele, asukohale, telefonile, SMS-idele, salvestusruumile, kõnelogidele, kaamerale ja mikrofonile. Kuna kiirsuhtlusrakendused nõuavad tavaliselt neid õigusi, ei tekita need tõenäoliselt ohvrile kahtlusi ega paista ebatavalised.

Enne kui kasutaja registreerub BingeChatis, saadab rakendus salaja üliolulist teavet ohus osaleja käsu-ja juhtimise (C2) serverisse. See hõlmab kõneloge, kontaktide loendeid, SMS-sõnumeid, seadme asukohta ja seadme põhiteavet. Lisaks varastab pahavara erinevaid teatud tüüpi failitüüpe meediumi- ja dokumendifaile, nagu jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 ja crypt32. Eelkõige vastavad krüptifaililaiendid WhatsApp Messengeri varukoopiatele.

Lisaks on GravityRATi üks märkimisväärseid uusi funktsioone selle võime saada C2 serverilt kolm erinevat käsku. Need käsud hõlmavad 'kustuta kõik failid' (määratud laiendiga), 'kustuta kõik kontaktid' ja 'kustuta kõik kõnelogid'. See võimalus annab ohus osalejale olulise kontrolli ohustatud seadme üle ja võimaldab neil sooritada potentsiaalselt kahjustavaid toiminguid.

Kasutajad peaksid rakendustele lubade andmisel olema äärmiselt ettevaatlikud ja hoolikalt üle vaatama mis tahes rakenduse, isegi näiliselt õigustatud, taotletud load. Seadmete regulaarne värskendamine, usaldusväärsete turbelahenduste kasutamine ja rakenduste kahtlase käitumise suhtes valvsus võib aidata selliste keerukate pahavarakampaaniatega seotud riske maandada.