بدافزار GravityRAT Mobile
از آگوست 2022، یک کمپین بدافزار جدید اندروید شناسایی شده است که آخرین نسخه GravityRAT را منتشر کرده و دستگاه های تلفن همراه را به خطر می اندازد. این بدافزار از یک برنامه چت تروجانیزه شده به نام «BingeChat» به عنوان ابزار آلوده استفاده می کند و هدف آن سرقت داده ها از دستگاه های قربانیان است.
آخرین نسخه GravityRAT با پیشرفتهای قابل توجهی همراه است، از جمله امکان سرقت فایلهای پشتیبان WhatsApp. این فایلهای پشتیبان که برای کمک به کاربران در انتقال تاریخچه پیام، فایلهای رسانهای و دادههای خود به دستگاههای جدید طراحی شدهاند، میتوانند حاوی اطلاعات حساسی مانند متن، فیلم، عکس، اسناد و موارد دیگر باشند که همگی در قالب رمزگذاری نشده هستند.
در حالی که GravityRAT حداقل از سال 2015 فعال بوده است، تنها در سال 2020 شروع به هدف قرار دادن دستگاه های اندرویدی کرد. اپراتورهای پشت این بدافزار، معروف به "SpaceCobra"، به طور انحصاری از این نرم افزار جاسوسی برای عملیات بسیار هدفمند خود استفاده می کنند.
مجرمان سایبری GravityRAT را به عنوان برنامه های چت مفید پنهان می کنند
این نرم افزار جاسوسی که به عنوان برنامه چت BingeChat پنهان شده است، ادعا می کند که رمزگذاری سرتاسری را ارائه می دهد و دارای یک رابط کاربر پسند همراه با ویژگی های پیشرفته است. برنامه مخرب در درجه اول از طریق وب سایت 'bingechat.net' و احتمالاً دامنه ها یا کانال های دیگر توزیع می شود. با این حال، دسترسی به دانلود برای افراد دعوت شده که باید اعتبارنامه معتبر ارائه کنند یا یک حساب کاربری جدید ثبت کنند محدود است.
در حال حاضر، ثبت نام برای برنامه بسته شده است و توزیع آن را به اهداف خاصی محدود می کند. این روش نه تنها به مجرمان اجازه می دهد تا بدافزار را به صورت انتخابی تحویل دهند، بلکه برای محققانی که به دنبال دریافت نسخه ای برای تجزیه و تحلیل هستند، چالشی ایجاد می کند.
در یک الگوی تکراری، اپراتورهای GravityRAT با استفاده از یک برنامه چت به نام «SoSafe» در سال 2021 و قبل از آن، برنامه دیگری به نام «Travel Mate Pro» به تبلیغ فایلهای APK مخرب Android متوسل شدند. این برنامهها نسخههای تروجانشده OMEMO IM، یک برنامه پیامرسان فوری منبع باز قانونی برای اندروید بودند.
شایان ذکر است، SpaceCobra قبلا از OMEMO IM به عنوان پایه ای برای یک برنامه کلاهبرداری دیگر به نام Chatico استفاده می کرد. در تابستان 2022، Chatico از طریق وبسایت از بین رفته «chatico.co.uk» در بین اهداف توزیع شد.
قابلیت های مخربی که در تهدید موبایل GravityRAT یافت شد
پس از نصب بر روی دستگاه هدف، BingeChat مجوزهایی را درخواست می کند که خطرات ذاتی دارند. این مجوزها شامل دسترسی به مخاطبین، موقعیت مکانی، تلفن، پیامک، ذخیره سازی، گزارش تماس، دوربین و میکروفون است. از آنجایی که این مجوزها معمولاً توسط برنامههای پیامرسانی فوری مورد نیاز است، بعید است که سوء ظن ایجاد کند یا برای قربانی غیرعادی به نظر برسد.
قبل از اینکه کاربر در BingeChat ثبت نام کند، برنامه به طور مخفیانه اطلاعات مهمی را به سرور فرماندهی و کنترل (C2) عامل تهدید ارسال می کند. این شامل گزارش تماس ها، لیست مخاطبین، پیام های SMS، مکان دستگاه و اطلاعات اولیه دستگاه است. علاوه بر این، این بدافزار فایلهای رسانهها و اسناد مختلفی از انواع فایلهای خاص مانند jpg، jpeg، log، png، PNG، JPG، JPEG، txt، pdf، xml، doc، xls، xlsx، ppt، pptx، docx، opus را سرقت میکند. ، crypt14 ، crypt12 ، crypt13 ، crypt18 و crypt32. قابل ذکر است که پسوند فایل crypt مربوط به پشتیبان گیری از پیام رسان WhatsApp است.
علاوه بر این، یکی از ویژگی های قابل توجه جدید GravityRAT توانایی آن در دریافت سه دستور مجزا از سرور C2 است. این دستورات شامل «حذف همه فایلها» (با یک پسوند مشخص)، «حذف همه مخاطبین» و «حذف همه گزارشهای تماس» است. این قابلیت به عامل تهدید کنترل قابل توجهی بر دستگاه در معرض خطر اعطا می کند و به آنها اجازه می دهد تا اقدامات بالقوه آسیب رسان را انجام دهند.
کاربران باید هنگام اعطای مجوز به برنامه ها نهایت احتیاط را به خرج دهند و مجوزهای درخواست شده توسط هر برنامه، حتی مجوزهای به ظاهر قانونی را به دقت بررسی کنند. بهروزرسانی منظم دستگاهها، استفاده از راهحلهای امنیتی قابل اعتماد، و هوشیاری در برابر رفتار مشکوک برنامهها میتواند به کاهش خطرات مرتبط با چنین کمپینهای بدافزار پیچیده کمک کند.