Perisian Hasad Mudah Alih GravityRAT
Sejak Ogos 2022, kempen perisian hasad Android baharu telah dikesan, menyebarkan versi terkini GravityRAT dan menjejaskan peranti mudah alih. Malware menggunakan aplikasi sembang trojan bernama 'BingeChat' sebagai cara jangkitannya, bertujuan untuk mencuri data daripada peranti mangsa.
Versi terbaru GravityRAT hadir dengan peningkatan yang ketara, termasuk keupayaan untuk mencuri fail sandaran WhatsApp. Fail sandaran ini, yang direka untuk membantu pengguna memindahkan sejarah mesej, fail media dan data mereka ke peranti baharu, boleh mengandungi maklumat sensitif seperti teks, video, foto, dokumen dan banyak lagi, semuanya dalam format yang tidak disulitkan.
Walaupun GravityRAT telah aktif sejak sekurang-kurangnya 2015, ia hanya mula menyasarkan peranti Android pada tahun 2020. Pengendali di sebalik perisian hasad ini, dikenali sebagai 'SpaceCobra,' secara eksklusif menggunakan perisian pengintip untuk operasi mereka yang sangat disasarkan.
Penjenayah Siber Menyamar GravityRAT sebagai Aplikasi Sembang Berguna
Perisian pengintip, yang menyamar sebagai apl sembang 'BingeChat,' mendakwa menawarkan penyulitan hujung ke hujung dan mempunyai antara muka mesra pengguna bersama-sama dengan ciri lanjutan. Apl berniat jahat itu diedarkan terutamanya melalui tapak web 'bingechat.net' dan mungkin domain atau saluran lain. Walau bagaimanapun, akses kepada muat turun adalah terhad kepada individu yang dijemput yang mesti memberikan bukti kelayakan yang sah atau mendaftar akaun baharu.
Pada masa ini, pendaftaran untuk apl ditutup, mengehadkan pengedarannya kepada sasaran tertentu. Kaedah ini bukan sahaja membenarkan pelaku menghantar perisian hasad secara selektif tetapi juga memberi cabaran kepada penyelidik yang ingin mendapatkan salinan untuk analisis.
Dalam corak yang berulang, pengendali GravityRAT terpaksa mempromosikan APK Android berniat jahat menggunakan apl sembang bernama 'SoSafe' pada tahun 2021 dan sebelum itu, apl lain yang dipanggil 'Travel Mate Pro.' Apl ini ialah versi OMEMO IM yang telah ditrojan, apl pemesejan segera sumber terbuka yang sah untuk Android.
Terutama, SpaceCobra sebelum ini menggunakan OMEMO IM sebagai asas untuk satu lagi aplikasi penipuan yang dipanggil 'Chatico.' Pada musim panas 2022, Chatico telah diedarkan kepada sasaran melalui tapak web 'chatico.co.uk' yang kini tidak lagi berfungsi.
Keupayaan Hasad Ditemui dalam Ancaman Mudah Alih GravityRAT
Selepas pemasangan pada peranti sasaran, BingeChat meminta kebenaran yang membawa risiko yang wujud. Kebenaran ini termasuk akses kepada kenalan, lokasi, telefon, SMS, storan, log panggilan, kamera dan mikrofon. Memandangkan kebenaran ini biasanya diperlukan oleh apl pemesejan segera, ia tidak mungkin menimbulkan syak wasangka atau kelihatan tidak normal kepada mangsa.
Sebelum pengguna mendaftar dalam BingeChat, aplikasi secara rahsia menghantar maklumat penting kepada pelayan Perintah-dan-Kawalan (C2) aktor ancaman itu. Ini termasuk log panggilan, senarai kenalan, mesej SMS, lokasi peranti dan maklumat asas peranti. Selain itu, perisian hasad mencuri pelbagai media dan fail dokumen jenis fail tertentu, seperti jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 dan crypt32. Terutama, sambungan fail crypt sepadan dengan sandaran WhatsApp Messenger.
Tambahan pula, salah satu ciri baharu GravityRAT yang ketara ialah keupayaannya untuk menerima tiga arahan berbeza daripada pelayan C2. Perintah ini termasuk 'padam semua fail' (daripada sambungan yang ditentukan), 'padam semua kenalan' dan 'padam semua log panggilan.' Keupayaan ini memberikan aktor ancaman kawalan ketara ke atas peranti yang terjejas dan membolehkan mereka melaksanakan tindakan yang berpotensi merosakkan.
Pengguna harus berhati-hati apabila memberikan kebenaran kepada apl dan menyemak dengan teliti kebenaran yang diminta oleh mana-mana aplikasi, walaupun yang kelihatan sah. Mengemas kini peranti secara kerap, menggunakan penyelesaian keselamatan yang boleh dipercayai dan berwaspada terhadap gelagat apl yang mencurigakan boleh membantu mengurangkan risiko yang dikaitkan dengan kempen perisian hasad yang canggih tersebut.
