GravityRAT mobilni malware

Od kolovoza 2022. otkrivena je nova kampanja zlonamjernog softvera za Android, koja širi najnoviju verziju GravityRAT-a i ugrožava mobilne uređaje. Zlonamjerni softver koristi trojaniziranu chat aplikaciju pod nazivom 'BingeChat' kao sredstvo zaraze, s ciljem krađe podataka s uređaja žrtava.

Najnovija verzija GravityRAT-a dolazi sa značajnim poboljšanjima, uključujući mogućnost krađe WhatsApp backup datoteka. Ove sigurnosne kopije datoteka, dizajnirane da pomognu korisnicima u prijenosu njihove povijesti poruka, medijskih datoteka i podataka na nove uređaje, mogu sadržavati osjetljive informacije kao što su tekst, video zapisi, fotografije, dokumenti i više, sve u nekriptiranom formatu.

Iako je GravityRAT aktivan barem od 2015., počeo je ciljati Android uređaje tek 2020. Operateri koji stoje iza ovog zlonamjernog softvera, poznatog kao 'SpaceCobra', isključivo koriste špijunski softver za svoje vrlo ciljane operacije.

Cyberkriminalci maskiraju GravityRAT kao korisne aplikacije za chat

Špijunski softver, prerušen u aplikaciju za chat 'BingeChat', tvrdi da nudi end-to-end enkripciju i može se pohvaliti sučeljem koje je jednostavno za korisnika zajedno s naprednim značajkama. Zlonamjerna aplikacija primarno se distribuira putem web stranice 'bingechat.net' i moguće drugih domena ili kanala. Međutim, pristup preuzimanju ograničen je na pozvane pojedince koji moraju dati važeće vjerodajnice ili registrirati novi račun.

Trenutačno su registracije za aplikaciju zatvorene, ograničavajući njezinu distribuciju na određene ciljeve. Ova metoda ne samo da omogućuje počiniteljima da selektivno isporuče zlonamjerni softver, već također predstavlja izazov za istraživače koji žele dobiti kopiju za analizu.

U obrascu koji se ponavlja, operateri GravityRAT-a pribjegli su promicanju zlonamjernih Android APK-ova pomoću aplikacije za chat pod nazivom 'SoSafe' 2021., a prije toga još jedne aplikacije pod nazivom 'Travel Mate Pro'. Te su aplikacije bile trojanske verzije OMEMO IM-a, legitimne aplikacije otvorenog koda za razmjenu trenutnih poruka za Android.

Naime, SpaceCobra je prethodno koristila OMEMO IM kao temelj za još jednu lažnu aplikaciju pod nazivom 'Chatico'. U ljeto 2022. Chatico je distribuiran metama putem sada već nepostojeće web stranice 'chatico.co.uk'.

Zlonamjerne mogućnosti pronađene u prijetnji GravityRAT Mobile

Nakon instalacije na ciljnom uređaju, BingeChat zahtijeva dopuštenja koja nose inherentne rizike. Ova dopuštenja uključuju pristup kontaktima, lokaciji, telefonu, SMS-u, pohrani, zapisima poziva, kameri i mikrofonu. Budući da ta dopuštenja obično zahtijevaju aplikacije za razmjenu izravnih poruka, malo je vjerojatno da će pobuditi sumnju ili se žrtvi činiti nenormalnim.

Prije nego se korisnik registrira na BingeChatu, aplikacija potajno šalje ključne informacije Command-and-Control (C2) poslužitelju aktera prijetnje. To uključuje zapisnike poziva, popise kontakata, SMS poruke, lokaciju uređaja i osnovne informacije o uređaju. Osim toga, zlonamjerni softver krade različite medijske datoteke i datoteke dokumenata određenih vrsta datoteka, kao što su jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 i crypt32. Značajno, ekstenzije kriptiranih datoteka odgovaraju sigurnosnim kopijama WhatsApp Messengera.

Nadalje, jedna od značajnih novih značajki GravityRAT-a je njegova mogućnost primanja tri različite naredbe s C2 poslužitelja. Ove naredbe uključuju 'brisanje svih datoteka' (određene ekstenzije), 'brisanje svih kontakata' i 'brisanje svih zapisa poziva.' Ova mogućnost akteru prijetnje daje značajnu kontrolu nad kompromitiranim uređajem i omogućuje mu izvršavanje potencijalno štetnih radnji.

Korisnici bi trebali biti krajnje oprezni pri davanju dopuštenja aplikacijama i pažljivo pregledati dopuštenja koja zahtijevaju sve aplikacije, čak i one naizgled legitimne. Redovito ažuriranje uređaja, korištenje pouzdanih sigurnosnih rješenja i budnost protiv sumnjivog ponašanja aplikacija mogu pomoći u ublažavanju rizika povezanih s takvim sofisticiranim kampanjama zlonamjernog softvera.