GravityRAT mobilā ļaunprogrammatūra

Kopš 2022. gada augusta ir atklāta jauna Android ļaunprātīgas programmatūras kampaņa, kas izplata GravityRAT jaunāko versiju un apdraud mobilās ierīces. Ļaunprātīga programmatūra kā inficēšanās līdzekli izmanto trojānizētu tērzēšanas lietojumprogrammu BingeChat, kuras mērķis ir nozagt datus no upuru ierīcēm.

Jaunākā GravityRAT versija ir aprīkota ar ievērojamiem uzlabojumiem, tostarp iespēju zagt WhatsApp dublējuma failus. Šie dublējuma faili, kas paredzēti, lai palīdzētu lietotājiem pārsūtīt ziņojumu vēsturi, multivides failus un datus uz jaunām ierīcēm, var saturēt sensitīvu informāciju, piemēram, tekstu, videoklipus, fotoattēlus, dokumentus un daudz ko citu, un tas viss var būt nešifrētā formātā.

Lai gan GravityRAT ir bijis aktīvs vismaz kopš 2015. gada, tas sāka mērķēt uz Android ierīcēm tikai 2020. gadā. Šīs ļaunprātīgās programmatūras operatori, kas pazīstami kā “SpaceCobra”, izmanto spiegprogrammatūru tikai savām mērķtiecīgām darbībām.

Kibernoziedznieki maskē GravityRAT kā noderīgas tērzēšanas lietotnes

Spiegprogrammatūra, kas maskēta kā tērzēšanas lietotne "BingeChat", apgalvo, ka piedāvā pilnīgu šifrēšanu un lepojas ar lietotājam draudzīgu saskarni, kā arī uzlabotas funkcijas. Ļaunprātīgā lietotne galvenokārt tiek izplatīta, izmantojot vietni “bingechat.net” un, iespējams, citos domēnos vai kanālos. Tomēr piekļuve lejupielādei ir pieejama tikai uzaicinātām personām, kurām ir jāiesniedz derīgi akreditācijas dati vai jāreģistrē jauns konts.

Pašlaik lietotnes reģistrācija ir slēgta, ierobežojot tās izplatīšanu līdz noteiktiem mērķiem. Šī metode ne tikai ļauj vainīgajiem selektīvi piegādāt ļaunprātīgu programmatūru, bet arī rada izaicinājumu pētniekiem, kuri vēlas iegūt kopiju analīzei.

Atkārtoti GravityRAT operatori 2021. gadā izmantoja ļaunprātīgu Android APK failu reklamēšanu, izmantojot tērzēšanas lietotni “SoSafe” un pirms tam citu lietotni ar nosaukumu “Travel Mate Pro”. Šīs lietotnes bija OMEMO IM, likumīgas atvērtā pirmkoda tūlītējās ziņojumapmaiņas lietotnes Android ierīcēm, trojanizētās versijas.

Proti, SpaceCobra iepriekš izmantoja OMEMO IM kā pamatu vēl vienai krāpnieciskai lietotnei ar nosaukumu "Chatico". 2022. gada vasarā Chatico tika izplatīts mērķiem, izmantojot nu jau vairs neesošu vietni “chatico.co.uk”.

GravityRAT mobilo sakaru draudos atrastas ļaunprātīgas iespējas

Pēc instalēšanas mērķa ierīcē BingeChat pieprasa atļaujas, kas rada raksturīgus riskus. Šīs atļaujas ietver piekļuvi kontaktpersonām, atrašanās vietai, tālrunim, SMS, krātuvei, zvanu žurnāliem, kamerai un mikrofonam. Tā kā šīs atļaujas parasti ir nepieciešamas tūlītējās ziņojumapmaiņas lietotnēm, maz ticams, ka upurim tās radīs aizdomas vai šķitīs neparastas.

Pirms lietotājs reģistrējas pakalpojumā BingeChat, lietotne slepeni nosūta būtisku informāciju apdraudējuma dalībnieka Command-and-Control (C2) serverim. Tas ietver zvanu žurnālus, kontaktpersonu sarakstus, īsziņas, ierīces atrašanās vietu un ierīces pamatinformāciju. Turklāt ļaunprogrammatūra nozog dažādus noteiktu failu tipu multivides un dokumentu failus, piemēram, jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus. , crypt14, crypt12, crypt13, crypt18 un crypt32. Jo īpaši kripta failu paplašinājumi atbilst WhatsApp Messenger dublējumkopijām.

Turklāt viena no ievērojamajām jaunajām GravityRAT funkcijām ir tā spēja saņemt trīs atšķirīgas komandas no C2 servera. Šīs komandas ietver "dzēst visus failus" (noteikta paplašinājuma), "dzēst visas kontaktpersonas" un "dzēst visus zvanu žurnālus". Šī iespēja nodrošina apdraudējuma dalībniekam būtisku kontroli pār apdraudēto ierīci un ļauj veikt potenciāli kaitīgas darbības.

Lietotājiem ir jāievēro īpaša piesardzība, piešķirot atļaujas lietotnēm, un rūpīgi jāpārskata atļaujas, ko pieprasa jebkura lietojumprogramma, pat šķietami likumīga. Regulāra ierīču atjaunināšana, uzticamu drošības risinājumu izmantošana un modrība pret aizdomīgu lietotņu darbību var palīdzēt mazināt riskus, kas saistīti ar šādām izsmalcinātām ļaunprātīgas programmatūras kampaņām.