„GravityRAT Mobile“ kenkėjiška programa

Nuo 2022 m. rugpjūčio mėn. buvo aptikta nauja Android kenkėjiškų programų kampanija, platinanti naujausią GravityRAT versiją ir pažeidžianti mobiliuosius įrenginius. Kenkėjiška programa naudoja trojanizuotą pokalbių programą, pavadintą „BingeChat“, kaip užkrėtimo priemonę, kuria siekiama pavogti duomenis iš aukų įrenginių.

Naujausioje „GravityRAT“ versijoje yra pastebimų patobulinimų, įskaitant galimybę pasisavinti „WhatsApp“ atsargines kopijas. Šiuose atsarginės kopijos failuose, skirtuose padėti vartotojams perkelti pranešimų istoriją, medijos failus ir duomenis į naujus įrenginius, gali būti neskelbtinos informacijos, pvz., teksto, vaizdo įrašų, nuotraukų, dokumentų ir kt., visa tai nešifruotu formatu.

Nors „GravityRAT“ veikia mažiausiai nuo 2015 m., „Android“ įrenginius ji pradėjo taikyti tik 2020 m. Šios kenkėjiškos programos, žinomos kaip „SpaceCobra“, operatoriai naudoja tik šnipinėjimo programas savo tikslioms operacijoms.

Kibernetiniai nusikaltėliai užmaskuoja „GravityRAT“ kaip naudingas pokalbių programas

Šnipinėjimo programa, užmaskuota kaip pokalbių programa „BingeChat“, teigia siūlanti visišką šifravimą ir gali pasigirti patogia sąsaja bei pažangiomis funkcijomis. Kenkėjiška programėlė pirmiausia platinama per svetainę „bingechat.net“ ir galbūt kitus domenus ar kanalus. Tačiau prieigą prie atsisiuntimo gali tik pakviesti asmenys, kurie turi pateikti galiojančius kredencialus arba užregistruoti naują paskyrą.

Šiuo metu programos registracija yra uždaryta, todėl jos platinimas ribojamas iki konkrečių tikslų. Šis metodas ne tik leidžia nusikaltėliams pasirinktinai pristatyti kenkėjišką programą, bet ir yra iššūkis tyrėjams, norintiems gauti kopiją analizei.

2021 m. GravityRAT operatoriai nuolat reklamavo kenkėjiškus „Android“ APK naudodami pokalbių programą „SoSafe“, o prieš tai – kitą programą „Travel Mate Pro“. Šios programos buvo trojanizuotos OMEMO IM, teisėtos atvirojo kodo momentinių pranešimų programos, skirtos „Android“, versijos.

Pažymėtina, kad „SpaceCobra“ anksčiau naudojo OMEMO IM kaip dar vienos apgaulingos programos „Chatico“ pagrindą. 2022 m. vasarą „Chatico“ buvo platinamas taikiniams per nebeveikiančią svetainę „chatico.co.uk“.

„GravityRAT“ mobiliojo ryšio grėsme aptiktos kenkėjiškos galimybės

Įdiegus tikslinio įrenginio įrenginyje, „BingeChat“ prašo leidimų, susijusių su būdinga rizika. Šie leidimai apima prieigą prie kontaktų, vietos, telefono, SMS, saugyklos, skambučių žurnalų, kameros ir mikrofono. Kadangi šie leidimai paprastai reikalingi momentinių pranešimų programoms, mažai tikėtina, kad jie sukels įtarimų arba aukai atrodys neįprasti.

Prieš vartotojui užsiregistruojant „BingeChat“, programa paslapčia siunčia svarbią informaciją į grėsmės veikėjo komandų ir valdymo (C2) serverį. Tai apima skambučių žurnalus, kontaktų sąrašus, SMS žinutes, įrenginio vietą ir pagrindinę įrenginio informaciją. Be to, kenkėjiška programa pavagia įvairius specifinių failų tipų laikmenų ir dokumentų failus, tokius kaip jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus. , crypt14, crypt12, crypt13, crypt18 ir crypt32. Pažymėtina, kad kripto failų plėtiniai atitinka WhatsApp Messenger atsargines kopijas.

Be to, viena iš pastebimų naujų GravityRAT savybių yra galimybė gauti tris skirtingas komandas iš C2 serverio. Šios komandos apima „ištrinti visus failus“ (nurodyto plėtinio), „ištrinti visus kontaktus“ ir „ištrinti visus skambučių žurnalus“. Ši galimybė suteikia grėsmės veikėjui didelę pažeisto įrenginio kontrolę ir leidžia atlikti potencialiai žalingus veiksmus.

Suteikdami leidimus programoms naudotojai turėtų elgtis labai atsargiai ir atidžiai peržiūrėti bet kurios programos, net ir iš pažiūros teisėtos, prašomus leidimus. Reguliarus įrenginių atnaujinimas, patikimų saugos sprendimų naudojimas ir budrumas dėl įtartinų programų elgesio gali padėti sumažinti riziką, susijusią su tokiomis sudėtingomis kenkėjiškų programų kampanijomis.