GravityRAT mobil skadelig programvare

Siden august 2022 har en ny Android-malvarekampanje blitt oppdaget, som har spredt den nyeste versjonen av GravityRAT og kompromittert mobile enheter. Skadevaren bruker en trojanisert chat-applikasjon kalt 'BingeChat' som infeksjonsmiddel, med sikte på å stjele data fra ofrenes enheter.

Den nyeste versjonen av GravityRAT kommer med bemerkelsesverdige forbedringer, inkludert muligheten til å stjele WhatsApp backup-filer. Disse sikkerhetskopieringsfilene, designet for å hjelpe brukere med å overføre meldingshistorikken, mediefiler og data til nye enheter, kan inneholde sensitiv informasjon som tekst, videoer, bilder, dokumenter og mer, alt i et ukryptert format.

Mens GravityRAT har vært aktiv siden minst 2015, begynte den først å målrette Android-enheter i 2020. Operatørene bak denne skadelige programvaren, kjent som 'SpaceCobra', bruker eksklusivt spionprogramvare for sine svært målrettede operasjoner.

Nettkriminelle skjuler GravityRAT som nyttige chatteapper

Spionprogrammet, forkledd som chat-appen 'BingeChat', hevder å tilby ende-til-ende-kryptering og har et brukervennlig grensesnitt sammen med avanserte funksjoner. Den ondsinnede appen distribueres primært gjennom nettstedet 'bingechat.net' og muligens andre domener eller kanaler. Tilgang til nedlastingen er imidlertid begrenset til inviterte personer som må oppgi gyldig legitimasjon eller registrere en ny konto.

For øyeblikket er registreringer for appen stengt, noe som begrenser distribusjonen til spesifikke mål. Denne metoden lar ikke bare gjerningsmennene levere skadevaren selektivt, men utgjør også en utfordring for forskere som ønsker å få tak i en kopi for analyse.

I et tilbakevendende mønster tok GravityRATs operatører til å promotere ondsinnede Android APK-er ved å bruke en chat-app kalt "SoSafe" i 2021, og før det, en annen app kalt "Travel Mate Pro." Disse appene var trojaniserte versjoner av OMEMO IM, en legitim åpen kildekode instant messenger-app for Android.

Spesielt har SpaceCobra tidligere brukt OMEMO IM som grunnlag for enda en uredelig app kalt "Chatico." Sommeren 2022 ble Chatico distribuert til mål gjennom det nå nedlagte nettstedet 'chatico.co.uk'.

Ondsinnede egenskaper funnet i GravityRAT Mobile Threat

Ved installasjon på målets enhet ber BingeChat om tillatelser som innebærer iboende risiko. Disse tillatelsene inkluderer tilgang til kontakter, plassering, telefon, SMS, lagring, anropslogger, kamera og mikrofon. Siden disse tillatelsene vanligvis kreves av apper for direktemeldinger, er det usannsynlig at de vil vekke mistanker eller fremstå som unormale for offeret.

Før en bruker registrerer seg i BingeChat, sender appen i det skjulte viktig informasjon til trusselaktørens Command-and-Control-server (C2). Dette inkluderer anropslogger, kontaktlister, SMS-meldinger, enhetsplassering og grunnleggende enhetsinformasjon. I tillegg stjeler skadevaren ulike medie- og dokumentfiler av spesifikke filtyper, for eksempel jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 og crypt32. Spesielt tilsvarer kryptfiltypene WhatsApp Messenger-sikkerhetskopier.

Videre er en av de bemerkelsesverdige nye funksjonene til GravityRAT dens evne til å motta tre distinkte kommandoer fra C2-serveren. Disse kommandoene inkluderer "slett alle filer" (med en spesifisert utvidelse), "slett alle kontakter" og "slett alle anropslogger." Denne evnen gir trusselaktøren betydelig kontroll over den kompromitterte enheten og lar dem utføre potensielt skadelige handlinger.

Brukere bør utvise største forsiktighet når de gir tillatelser til apper og nøye gjennomgå tillatelsene som etterspørres av alle apper, selv tilsynelatende legitime. Regelmessig oppdatering av enheter, bruk av pålitelige sikkerhetsløsninger og å være årvåken mot mistenkelig appatferd kan bidra til å redusere risikoen forbundet med slike sofistikerte skadevarekampanjer.