GravityRAT मोबाइल मालवेयर

अगस्ट २०२२ देखि, एउटा नयाँ एन्ड्रोइड मालवेयर अभियान पत्ता लागेको छ, जसले GravityRAT को नवीनतम संस्करण फैलाउँदै र मोबाइल उपकरणहरूमा सम्झौता गरेको छ। मालवेयरले पीडितहरूको यन्त्रहरूबाट डाटा चोर्ने लक्ष्य राख्दै 'BingeChat' नामक ट्रोजनाइज्ड च्याट अनुप्रयोगलाई संक्रमणको माध्यमको रूपमा प्रयोग गर्दछ।

GravityRAT को नवीनतम संस्करण WhatsApp ब्याकअप फाइलहरू पिल्फर गर्ने क्षमता सहित उल्लेखनीय सुधारहरू सहित आउँछ। यी ब्याकअप फाइलहरू, प्रयोगकर्ताहरूलाई तिनीहरूको सन्देश इतिहास, मिडिया फाइलहरू, र नयाँ उपकरणहरूमा डेटा स्थानान्तरण गर्न मद्दत गर्न डिजाइन गरिएको, पाठ, भिडियो, तस्बिरहरू, कागजातहरू, र थप जस्ता संवेदनशील जानकारी समावेश गर्न सकिन्छ, सबै एक अनइन्क्रिप्टेड ढाँचामा।

GravityRAT कम्तिमा 2015 देखि सक्रिय हुँदा, यसले 2020 मा मात्र एन्ड्रोइड उपकरणहरूलाई लक्षित गर्न थाल्यो। 'SpaceCobra' भनेर चिनिने यस मालवेयरको पछाडि अपरेटरहरूले विशेष रूपमा स्पाइवेयरलाई उनीहरूको उच्च-लक्षित कार्यहरूका लागि प्रयोग गर्छन्।

साइबर अपराधीहरूले GravityRAT लाई उपयोगी च्याट एप्सको रूपमा लुकाउँछन्

स्पाइवेयर, च्याट एप 'BingeChat' को रूपमा भेषमा, अन्त-टु-इन्ड ईन्क्रिप्शन प्रस्ताव गर्ने दावी गर्दछ र उन्नत सुविधाहरू सहित प्रयोगकर्ता-अनुकूल इन्टरफेसको गर्व गर्दछ। मालिसियस एप मुख्यतया वेबसाइट 'bingechat.net' र सम्भवतः अन्य डोमेन वा च्यानलहरू मार्फत वितरण गरिन्छ। यद्यपि, डाउनलोडमा पहुँच आमन्त्रित व्यक्तिहरूमा प्रतिबन्धित छ जसले वैध प्रमाणहरू प्रदान गर्नुपर्छ वा नयाँ खाता दर्ता गर्नुपर्छ।

हाल, एपको लागि दर्ताहरू बन्द छन्, विशेष लक्ष्यहरूमा यसको वितरण सीमित गर्दै। यो विधिले अपराधीहरूलाई मालवेयर छानेर डेलिभर गर्न मात्र अनुमति दिँदैन तर विश्लेषणका लागि प्रतिलिपि प्राप्त गर्न खोज्ने अनुसन्धानकर्ताहरूको लागि चुनौती पनि खडा गर्छ।

दोहोरिने ढाँचामा, GravityRAT का अपरेटरहरूले 2021 मा 'SoSafe' नामक च्याट एप प्रयोग गरेर मालिसियस एन्ड्रोइड एपीकेहरू प्रवर्द्धन गर्न रिसोर्ट गरे र त्यसअघि 'ट्राभल मेट प्रो' नामक अर्को एप। यी एपहरू एन्ड्रोइडका लागि वैध खुला स्रोत इन्स्ट्यान्ट मेसेन्जर एप OMEMO IM को ट्रोजनाइज्ड संस्करणहरू थिए।

उल्लेखनीय रूपमा, SpaceCobra ले पहिले OMEMO IM लाई 'चाटिको' नामक अर्को जालसाजी एपको आधारको रूपमा प्रयोग गर्‍यो। 2022 को गर्मीमा, Chatico अहिले बन्द भएको वेबसाइट 'chatico.co.uk' मार्फत लक्ष्यहरूमा वितरण गरिएको थियो।

GravityRAT मोबाइल खतरामा खराब क्षमताहरू फेला पर्यो

लक्ष्यको उपकरणमा स्थापना भएपछि, BingeChat ले अन्तर्निहित जोखिमहरू बोक्ने अनुमतिहरू अनुरोध गर्दछ। यी अनुमतिहरूमा सम्पर्कहरू, स्थान, फोन, एसएमएस, भण्डारण, कल लगहरू, क्यामेरा, र माइक्रोफोनमा पहुँच समावेश छ। यी अनुमतिहरू सामान्यतया तत्काल सन्देश अनुप्रयोगहरू द्वारा आवश्यक भएको हुनाले, तिनीहरूले शंका उत्पन्न गर्ने वा पीडितलाई असामान्य देखिने सम्भावना छैन।

प्रयोगकर्ताले BingeChat मा दर्ता गर्नु अघि, एपले गुप्त रूपमा खतरा अभिनेताको कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा महत्त्वपूर्ण जानकारी पठाउँछ। यसमा कल लगहरू, सम्पर्क सूचीहरू, SMS सन्देशहरू, उपकरण स्थान, र आधारभूत उपकरण जानकारी समावेश छ। थप रूपमा, मालवेयरले jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus जस्ता विशिष्ट फाइल प्रकारका विभिन्न मिडिया र कागजात फाइलहरू चोर्छ। , crypt14, crypt12, crypt13, crypt18, र crypt32। उल्लेखनीय रूपमा, क्रिप्ट फाइल विस्तारहरू व्हाट्सएप मेसेन्जर ब्याकअपहरूसँग मेल खान्छ।

यसबाहेक, GravityRAT को एक उल्लेखनीय नयाँ सुविधाहरू C2 सर्भरबाट तीनवटा फरक आदेशहरू प्राप्त गर्ने क्षमता हो। यी आदेशहरूमा 'सबै फाइलहरू मेटाउनुहोस्' (निर्दिष्ट विस्तारको), 'सबै सम्पर्कहरू मेटाउनुहोस्' र 'सबै कल लगहरू मेटाउनुहोस्' समावेश छन्। यो क्षमताले खतरा अभिनेतालाई सम्झौता गरिएको यन्त्रमा महत्त्वपूर्ण नियन्त्रण प्रदान गर्दछ र तिनीहरूलाई सम्भावित हानिकारक कार्यहरू कार्यान्वयन गर्न अनुमति दिन्छ।

प्रयोगकर्ताहरूले एपहरूलाई अनुमति दिँदा अत्यन्त सावधानी अपनाउनुपर्छ र कुनै पनि अनुप्रयोगले अनुरोध गरेको अनुमतिहरूको सावधानीपूर्वक समीक्षा गर्नुपर्छ, जस्तो देखिने वैधानिक पनि। नियमित रूपमा यन्त्रहरू अद्यावधिक गर्ने, भरपर्दो सुरक्षा समाधानहरू प्रयोग गर्ने, र शङ्कास्पद एप व्यवहार विरुद्ध सतर्क रहँदा त्यस्ता परिष्कृत मालवेयर अभियानहरूसँग सम्बन्धित जोखिमहरूलाई कम गर्न मद्दत गर्न सक्छ।