بدافزار GravityRAT Mobile

از آگوست 2022، یک کمپین بدافزار جدید اندروید شناسایی شده است که آخرین نسخه GravityRAT را منتشر کرده و دستگاه های تلفن همراه را به خطر می اندازد. این بدافزار از یک برنامه چت تروجانیزه شده به نام «BingeChat» به عنوان ابزار آلوده استفاده می کند و هدف آن سرقت داده ها از دستگاه های قربانیان است.

آخرین نسخه GravityRAT با پیشرفت‌های قابل توجهی همراه است، از جمله امکان سرقت فایل‌های پشتیبان WhatsApp. این فایل‌های پشتیبان که برای کمک به کاربران در انتقال تاریخچه پیام، فایل‌های رسانه‌ای و داده‌های خود به دستگاه‌های جدید طراحی شده‌اند، می‌توانند حاوی اطلاعات حساسی مانند متن، فیلم، عکس، اسناد و موارد دیگر باشند که همگی در قالب رمزگذاری نشده هستند.

در حالی که GravityRAT حداقل از سال 2015 فعال بوده است، تنها در سال 2020 شروع به هدف قرار دادن دستگاه های اندرویدی کرد. اپراتورهای پشت این بدافزار، معروف به "SpaceCobra"، به طور انحصاری از این نرم افزار جاسوسی برای عملیات بسیار هدفمند خود استفاده می کنند.

مجرمان سایبری GravityRAT را به عنوان برنامه های چت مفید پنهان می کنند

این نرم افزار جاسوسی که به عنوان برنامه چت BingeChat پنهان شده است، ادعا می کند که رمزگذاری سرتاسری را ارائه می دهد و دارای یک رابط کاربر پسند همراه با ویژگی های پیشرفته است. برنامه مخرب در درجه اول از طریق وب سایت 'bingechat.net' و احتمالاً دامنه ها یا کانال های دیگر توزیع می شود. با این حال، دسترسی به دانلود برای افراد دعوت شده که باید اعتبارنامه معتبر ارائه کنند یا یک حساب کاربری جدید ثبت کنند محدود است.

در حال حاضر، ثبت نام برای برنامه بسته شده است و توزیع آن را به اهداف خاصی محدود می کند. این روش نه تنها به مجرمان اجازه می دهد تا بدافزار را به صورت انتخابی تحویل دهند، بلکه برای محققانی که به دنبال دریافت نسخه ای برای تجزیه و تحلیل هستند، چالشی ایجاد می کند.

در یک الگوی تکراری، اپراتورهای GravityRAT با استفاده از یک برنامه چت به نام «SoSafe» در سال 2021 و قبل از آن، برنامه دیگری به نام «Travel Mate Pro» به تبلیغ فایل‌های APK مخرب Android متوسل شدند. این برنامه‌ها نسخه‌های تروجان‌شده OMEMO IM، یک برنامه پیام‌رسان فوری منبع باز قانونی برای اندروید بودند.

شایان ذکر است، SpaceCobra قبلا از OMEMO IM به عنوان پایه ای برای یک برنامه کلاهبرداری دیگر به نام Chatico استفاده می کرد. در تابستان 2022، Chatico از طریق وب‌سایت از بین رفته «chatico.co.uk» در بین اهداف توزیع شد.

قابلیت های مخربی که در تهدید موبایل GravityRAT یافت شد

پس از نصب بر روی دستگاه هدف، BingeChat مجوزهایی را درخواست می کند که خطرات ذاتی دارند. این مجوزها شامل دسترسی به مخاطبین، موقعیت مکانی، تلفن، پیامک، ذخیره سازی، گزارش تماس، دوربین و میکروفون است. از آنجایی که این مجوزها معمولاً توسط برنامه‌های پیام‌رسانی فوری مورد نیاز است، بعید است که سوء ظن ایجاد کند یا برای قربانی غیرعادی به نظر برسد.

قبل از اینکه کاربر در BingeChat ثبت نام کند، برنامه به طور مخفیانه اطلاعات مهمی را به سرور فرماندهی و کنترل (C2) عامل تهدید ارسال می کند. این شامل گزارش تماس ها، لیست مخاطبین، پیام های SMS، مکان دستگاه و اطلاعات اولیه دستگاه است. علاوه بر این، این بدافزار فایل‌های رسانه‌ها و اسناد مختلفی از انواع فایل‌های خاص مانند jpg، jpeg، log، png، PNG، JPG، JPEG، txt، pdf، xml، doc، xls، xlsx، ppt، pptx، docx، opus را سرقت می‌کند. ، crypt14 ، crypt12 ، crypt13 ، crypt18 و crypt32. قابل ذکر است که پسوند فایل crypt مربوط به پشتیبان گیری از پیام رسان WhatsApp است.

علاوه بر این، یکی از ویژگی های قابل توجه جدید GravityRAT توانایی آن در دریافت سه دستور مجزا از سرور C2 است. این دستورات شامل «حذف همه فایل‌ها» (با یک پسوند مشخص)، «حذف همه مخاطبین» و «حذف همه گزارش‌های تماس» است. این قابلیت به عامل تهدید کنترل قابل توجهی بر دستگاه در معرض خطر اعطا می کند و به آنها اجازه می دهد تا اقدامات بالقوه آسیب رسان را انجام دهند.

کاربران باید هنگام اعطای مجوز به برنامه ها نهایت احتیاط را به خرج دهند و مجوزهای درخواست شده توسط هر برنامه، حتی مجوزهای به ظاهر قانونی را به دقت بررسی کنند. به‌روزرسانی منظم دستگاه‌ها، استفاده از راه‌حل‌های امنیتی قابل اعتماد، و هوشیاری در برابر رفتار مشکوک برنامه‌ها می‌تواند به کاهش خطرات مرتبط با چنین کمپین‌های بدافزار پیچیده کمک کند.