GravityRAT Mobile -haittaohjelma

Elokuusta 2022 lähtien on havaittu uusi Android-haittaohjelmakampanja, joka levittää GravityRATin uusinta versiota ja vaarantaa mobiililaitteita. Haittaohjelma käyttää tartuntakeinonaan troijalaista chat-sovellusta nimeltä BingeChat, jonka tarkoituksena on varastaa tietoja uhrien laitteilta.

GravityRATin uusimmassa versiossa on merkittäviä parannuksia, mukaan lukien mahdollisuus varastaa WhatsApp-varmuuskopiotiedostoja. Nämä varmuuskopiotiedostot, jotka on suunniteltu auttamaan käyttäjiä siirtämään viestihistoriansa, mediatiedostonsa ja datansa uusiin laitteisiin, voivat sisältää arkaluontoisia tietoja, kuten tekstiä, videoita, valokuvia, asiakirjoja ja muuta, kaikki salaamattomassa muodossa.

Vaikka GravityRAT on ollut aktiivinen ainakin vuodesta 2015, se aloitti kohdistamisen Android-laitteisiin vasta vuonna 2020. Tämän haittaohjelman, 'SpaceCobra', takana toimivat operaattorit käyttävät yksinomaan vakoiluohjelmia tarkasti kohdistettuihin toimintoihinsa.

Kyberrikolliset naamioivat GravityRATin hyödyllisiksi chat-sovelluksiksi

Vakoiluohjelma, joka on naamioitu chat-sovellukseksi "BingeChat", väittää tarjoavansa päästä päähän -salauksen ja tarjoaa käyttäjäystävällisen käyttöliittymän sekä edistyneitä ominaisuuksia. Haitallista sovellusta levitetään ensisijaisesti verkkosivuston "bingechat.net" ja mahdollisesti muiden verkkotunnusten tai kanavien kautta. Latauksen käyttöoikeus on kuitenkin rajoitettu kutsutuille henkilöille, joiden on toimitettava kelvolliset tunnistetiedot tai rekisteröitävä uusi tili.

Tällä hetkellä sovelluksen rekisteröinti on suljettu, mikä rajoittaa sen jakelun tiettyihin kohteisiin. Tämä menetelmä ei vain salli tekijöiden toimittaa haittaohjelmia valikoivasti, vaan se on myös haaste tutkijoille, jotka haluavat saada kopiota analysoitavaksi.

GravityRATin operaattorit turvautuivat toistuvasti mainostamaan haitallisia Android APK:ita SoSafe-chat-sovelluksella vuonna 2021 ja sitä ennen toisella Travel Mate Pro -sovelluksella. Nämä sovellukset olivat troijalaisia versioita OMEMO IM:stä, laillisesta avoimen lähdekoodin pikaviestisovelluksesta Androidille.

Erityisesti SpaceCobra käytti aiemmin OMEMO IM:ää perustana toiselle petolliselle sovellukselle nimeltä "Chatico". Kesällä 2022 Chatico jaettiin kohteille jo poistuneen chatico.co.uk -sivuston kautta.

GravityRAT-mobiiliuhkasta löytyi haitallisia ominaisuuksia

Kun BingeChat asennetaan kohteen laitteelle, se pyytää käyttöoikeuksia, joihin liittyy luontaisia riskejä. Nämä luvat sisältävät pääsyn yhteystietoihin, sijaintiin, puhelimeen, tekstiviesteihin, tallennustilaan, puhelulokeihin, kameraan ja mikrofoniin. Koska pikaviestisovellukset vaativat yleensä näitä lupia, ne eivät todennäköisesti herätä epäilyksiä tai vaikuta epänormaalilta uhrille.

Ennen kuin käyttäjä rekisteröityy BingeChatiin, sovellus lähettää salassa tärkeitä tietoja uhkatekijän komento- ja ohjauspalvelimelle (C2). Tämä sisältää puhelulokit, yhteystietoluettelot, tekstiviestit, laitteen sijainnin ja laitteen perustiedot. Lisäksi haittaohjelma varastaa erilaisia tietyntyyppisiä media- ja asiakirjatiedostoja, kuten jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus. , crypt14, crypt12, crypt13, crypt18 ja crypt32. Erityisesti kryptatiedostotunnisteet vastaavat WhatsApp Messenger -varmuuskopioita.

Lisäksi yksi GravityRATin merkittävistä uusista ominaisuuksista on sen kyky vastaanottaa kolme erillistä komentoa C2-palvelimelta. Näitä komentoja ovat "poista kaikki tiedostot" (määritetyllä tiedostotunnisteella), "poista kaikki yhteystiedot" ja "poista kaikki puhelulokit". Tämä ominaisuus antaa uhkatekijälle merkittävän hallinnan vaarantuneeseen laitteeseen ja antaa heille mahdollisuuden suorittaa mahdollisesti vahingollisia toimia.

Käyttäjien tulee noudattaa äärimmäistä varovaisuutta myöntäessään käyttöoikeuksia sovelluksille ja tarkistaa huolellisesti minkä tahansa sovelluksen pyytämät käyttöoikeudet, jopa laillisilta näyttävät. Laitteiden säännöllinen päivittäminen, luotettavien tietoturvaratkaisujen käyttö ja valppaus epäilyttävän sovelluskäyttäytymisen varalta voivat auttaa vähentämään tällaisiin kehittyneisiin haittaohjelmakampanjoihin liittyviä riskejä.