GravityRAT Mobile Malware

2022 augusztusa óta egy új Android rosszindulatú programkampányt észleltek, amely a GravityRAT legújabb verzióját terjeszti, és veszélyezteti a mobileszközöket. A rosszindulatú program a „BingeChat” nevű trójai chat-alkalmazást használja fertőzési eszközként, hogy adatokat lopjon el az áldozatok eszközeiről.

A GravityRAT legújabb verziója figyelemre méltó fejlesztésekkel érkezik, beleértve a WhatsApp biztonsági mentési fájlok ellopásának lehetőségét. Ezek a biztonsági mentési fájlok, amelyek célja, hogy segítsék a felhasználókat üzenetelőzményeik, médiafájljaik és adataik új eszközökre való átvitelében, érzékeny információkat, például szöveget, videókat, fényképeket, dokumentumokat és egyebeket tartalmazhatnak, mindezt titkosítatlan formátumban.

Míg a GravityRAT legalább 2015 óta aktív, az Android-eszközöket csak 2020-ban kezdte megcélozni. A „SpaceCobra” néven ismert rosszindulatú program mögött álló operátorok kizárólag a kémprogramokat alkalmazzák erősen célzott műveleteikhez.

A kiberbűnözők a GravityRAT-ot hasznos csevegőalkalmazásoknak álcázzák

A „BingeChat” csevegőalkalmazásnak álcázott kémprogram azt állítja, hogy végpontok közötti titkosítást kínál, és felhasználóbarát felülettel, valamint fejlett funkciókkal büszkélkedhet. A rosszindulatú alkalmazást elsősorban a „bingechat.net” webhelyen és esetleg más domaineken vagy csatornákon keresztül terjesztik. A letöltéshez azonban csak meghívott személyek férhetnek hozzá, akiknek érvényes hitelesítő adatokat kell megadniuk, vagy új fiókot kell regisztrálniuk.

Jelenleg az alkalmazás regisztrációja le van zárva, így a terjesztés csak meghatározott célokra korlátozódik. Ez a módszer nemcsak azt teszi lehetővé, hogy az elkövetők szelektíven továbbítsák a kártevőt, hanem kihívást is jelent a kutatók számára, akik elemzés céljából szeretnének másolatot szerezni.

A GravityRAT üzemeltetői 2021-ben ismétlődő módon rosszindulatú Android APK-k népszerűsítéséhez folyamodtak a „SoSafe” nevű csevegőalkalmazással, ezt megelőzően pedig egy másik, „Travel Mate Pro” nevű alkalmazással. Ezek az alkalmazások az OMEMO IM, egy legitim, nyílt forráskódú azonnali üzenetküldő alkalmazás trójai változatai voltak Androidra.

Nevezetesen, a SpaceCobra korábban az OMEMO IM-et használta egy másik, a „Chatico” nevű csaló alkalmazás alapjaként. 2022 nyarán a Chaticót a már megszűnt „chatico.co.uk” webhelyen keresztül juttatták el a célpontokhoz.

Rosszindulatú képességek találhatók a GravityRAT Mobile Threatben

A cél eszközére történő telepítéskor a BingeChat olyan engedélyeket kér, amelyek eredendő kockázatokkal járnak. Ezek az engedélyek magukban foglalják a névjegyekhez, a helyhez, a telefonhoz, az SMS-ekhez, a tárhelyhez, a hívásnaplókhoz, a kamerához és a mikrofonhoz való hozzáférést. Mivel ezekre az engedélyekre jellemzően az azonnali üzenetküldő alkalmazásoknak van szükségük, nem valószínű, hogy gyanút keltenek vagy abnormálisnak tűnnek az áldozat számára.

Mielőtt a felhasználó regisztrál a BingeChat szolgáltatásban, az alkalmazás titokban elküldi a döntő fontosságú információkat a fenyegetettség szereplőjének Command-and-Control (C2) szerverének. Ez magában foglalja a hívásnaplókat, a névjegyzékeket, az SMS-üzeneteket, az eszköz helyét és az alapvető eszközinformációkat. Ezen túlmenően a rosszindulatú program különféle típusú média- és dokumentumfájlokat lop el, például jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 és crypt32. Nevezetesen, a crypt fájlkiterjesztések megfelelnek a WhatsApp Messenger biztonsági másolatainak.

Ezenkívül a GravityRAT egyik figyelemre méltó újdonsága, hogy képes három különálló parancs fogadására a C2 szervertől. Ezek a parancsok magukban foglalják a „minden fájl törlése” (meghatározott kiterjesztésű), „minden névjegy törlése” és „minden hívásnapló törlése” parancsot. Ez a képesség jelentős irányítást biztosít a fenyegetés szereplőjének a feltört eszköz felett, és lehetővé teszi számára, hogy potenciálisan káros műveleteket hajtsanak végre.

A felhasználóknak a lehető legnagyobb körültekintéssel kell eljárniuk, amikor engedélyeket adnak az alkalmazásoknak, és alaposan át kell tekinteniük az alkalmazások által kért engedélyeket, még a látszólag jogosak esetében is. Az eszközök rendszeres frissítése, a megbízható biztonsági megoldások alkalmazása és a gyanús alkalmazások viselkedése elleni éberség segíthet csökkenteni az ilyen kifinomult rosszindulatú kampányokkal kapcsolatos kockázatokat.