תוכנה זדונית ניידת GravityRAT

מאז אוגוסט 2022, זוהה קמפיין תוכנה זדוני חדש לאנדרואיד, המפיץ את הגרסה העדכנית ביותר של GravityRAT ופוגע במכשירים ניידים. התוכנה הזדונית משתמשת באפליקציית צ'אט טרויאנית בשם 'BingeChat' כאמצעי ההדבקה שלה, במטרה לגנוב נתונים מהמכשירים של הקורבנות.

הגרסה העדכנית ביותר של GravityRAT מגיעה עם שיפורים בולטים, כולל היכולת לגנוב קבצי גיבוי של WhatsApp. קבצי גיבוי אלו, שנועדו לסייע למשתמשים בהעברת היסטוריית ההודעות, קבצי המדיה והנתונים שלהם למכשירים חדשים, יכולים להכיל מידע רגיש כגון טקסט, סרטונים, תמונות, מסמכים ועוד, והכל בפורמט לא מוצפן.

בעוד GravityRAT פעילה לפחות מאז 2015, היא החלה למקד למכשירי אנדרואיד רק בשנת 2020. המפעילים שמאחורי התוכנה הזדונית הזו, הידועה בשם 'SpaceCobra', מעסיקות באופן בלעדי את תוכנת הריגול עבור הפעולות הממוקדות ביותר שלהם.

פושעי סייבר מסווים את GravityRAT כאפליקציות צ'אט שימושיות

תוכנת הריגול, המחופשת לאפליקציית הצ'אט 'BingeChat', מתיימרת להציע הצפנה מקצה לקצה ומתגאה בממשק ידידותי למשתמש יחד עם תכונות מתקדמות. האפליקציה הזדונית מופצת בעיקר דרך האתר 'bingechat.net' ואולי דומיינים או ערוצים אחרים. עם זאת, הגישה להורדה מוגבלת לאנשים מוזמנים שחייבים לספק אישורים תקפים או לרשום חשבון חדש.

נכון לעכשיו, ההרשמות לאפליקציה סגורות, מה שמגביל את הפצתה למטרות ספציפיות. שיטה זו לא רק מאפשרת למבצעים להעביר את התוכנה הזדונית באופן סלקטיבי, אלא גם מהווה אתגר לחוקרים המבקשים להשיג עותק לניתוח.

בדפוס חוזר, מפעילי GravityRAT פנו לקדם חבילות APK זדוניות של אנדרואיד באמצעות אפליקציית צ'אט בשם 'SoSafe' בשנת 2021 ולפני כן, אפליקציה נוספת בשם 'Travel Mate Pro'. אפליקציות אלו היו גרסאות טרויאניות של OMEMO IM, אפליקציית מסרים מידיים בקוד פתוח לגיטימי עבור אנדרואיד.

יש לציין כי SpaceCobra השתמשה בעבר ב-OMEMO IM כבסיס לעוד אפליקציה הונאה בשם 'Chatico'. בקיץ 2022, Chatico הופצה למטרות דרך אתר האינטרנט "chatico.co.uk" שהופסק כעת.

יכולות זדוניות שנמצאו באיום הנייד GravityRAT

עם ההתקנה במכשיר היעד, BingeChat מבקש הרשאות הנושאות סיכונים מובנים. הרשאות אלה כוללות גישה לאנשי קשר, מיקום, טלפון, SMS, אחסון, יומני שיחות, מצלמה ומיקרופון. מכיוון שהרשאות אלה נדרשות בדרך כלל על ידי אפליקציות הודעות מיידיות, לא סביר שהן יעוררו חשדות או ייראו חריגים לקורבן.

לפני שמשתמש נרשם ב-BingeChat, האפליקציה שולחת בחשאי מידע חיוני לשרת ה-Command-and-Control (C2) של שחקן האיום. זה כולל יומני שיחות, רשימות אנשי קשר, הודעות SMS, מיקום המכשיר ומידע בסיסי על המכשיר. בנוסף, התוכנה הזדונית גונבת קבצי מדיה ומסמכים שונים מסוגי קבצים ספציפיים, כגון jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 ו- crypt32. יש לציין שסיומות קבצי הקריפטה מתאימות לגיבויים של WhatsApp Messenger.

יתר על כן, אחת התכונות החדשות הבולטות של GravityRAT היא היכולת שלה לקבל שלוש פקודות שונות משרת C2. פקודות אלו כוללות 'מחק את כל הקבצים' (של סיומת מוגדרת), 'מחק את כל אנשי הקשר' ו'מחק את כל יומני השיחות'. יכולת זו מעניקה לשחקן האיום שליטה משמעותית על המכשיר שנפרץ ומאפשרת להם לבצע פעולות שעלולות להזיק.

על המשתמשים לנקוט בזהירות מרבית בעת מתן הרשאות לאפליקציות ולבדוק היטב את ההרשאות המבוקשות על ידי כל אפליקציה, אפילו לגיטימיות לכאורה. עדכון שוטף של מכשירים, שימוש בפתרונות אבטחה אמינים ושמירה על ערנות מפני התנהגות חשודה של אפליקציות יכולים לעזור להפחית את הסיכונים הכרוכים בקמפיינים מתוחכמים מסוג תוכנות זדוניות שכאלה.