GravityRAT mobiele malware

Sinds augustus 2022 is er een nieuwe Android-malwarecampagne gedetecteerd, die de nieuwste versie van GravityRAT verspreidt en mobiele apparaten in gevaar brengt. De malware maakt gebruik van een getrojaniseerde chattoepassing met de naam 'BingeChat' als infectiemiddel, met als doel gegevens van de apparaten van de slachtoffers te stelen.

De nieuwste versie van GravityRAT wordt geleverd met opmerkelijke verbeteringen, waaronder de mogelijkheid om WhatsApp-back-upbestanden te stelen. Deze back-upbestanden, ontworpen om gebruikers te helpen bij het overzetten van hun berichtgeschiedenis, mediabestanden en gegevens naar nieuwe apparaten, kunnen gevoelige informatie bevatten zoals tekst, video's, foto's, documenten en meer, allemaal in een niet-versleuteld formaat.

Hoewel GravityRAT al minstens sinds 2015 actief is, begon het zich pas in 2020 te richten op Android-apparaten. De operators achter deze malware, bekend als 'SpaceCobra', gebruiken de spyware uitsluitend voor hun zeer gerichte operaties.

Cybercriminelen vermommen GravityRAT als handige chat-apps

De spyware, vermomd als de chat-app 'BingeChat', claimt end-to-end encryptie te bieden en beschikt over een gebruiksvriendelijke interface en geavanceerde functies. De kwaadaardige app wordt voornamelijk verspreid via de website 'bingechat.net' en mogelijk via andere domeinen of kanalen. Toegang tot de download is echter beperkt tot uitgenodigde personen die geldige inloggegevens moeten verstrekken of een nieuw account moeten registreren.

Momenteel zijn registraties voor de app gesloten, waardoor de verspreiding ervan wordt beperkt tot specifieke doelen. Deze methode stelt de daders niet alleen in staat om de malware selectief af te leveren, maar vormt ook een uitdaging voor onderzoekers die een kopie voor analyse willen bemachtigen.

In een terugkerend patroon namen de operators van GravityRAT in 2021 hun toevlucht tot het promoten van kwaadaardige Android APK's met behulp van een chat-app genaamd 'SoSafe' en daarvoor een andere app genaamd 'Travel Mate Pro'. Deze apps waren getrojaniseerde versies van OMEMO IM, een legitieme open-source instant messenger-app voor Android.

Met name gebruikte SpaceCobra eerder OMEMO IM als basis voor nog een andere frauduleuze app genaamd 'Chatico'. In de zomer van 2022 werd Chatico gedistribueerd naar doelwitten via de inmiddels ter ziele gegane website 'chatico.co.uk'.

Schadelijke mogelijkheden gevonden in de GravityRAT Mobile Threat

Bij installatie op het apparaat van het doelwit vraagt BingeChat toestemmingen die inherente risico's met zich meebrengen. Deze machtigingen omvatten toegang tot contacten, locatie, telefoon, sms, opslag, oproeplogboeken, camera en microfoon. Aangezien deze machtigingen doorgaans vereist zijn voor instant messaging-apps, is het onwaarschijnlijk dat ze argwaan wekken of abnormaal lijken voor het slachtoffer.

Voordat een gebruiker zich registreert in BingeChat, stuurt de app stiekem cruciale informatie naar de Command-and-Control (C2)-server van de bedreigingsactor. Dit omvat oproeplogboeken, contactlijsten, sms-berichten, apparaatlocatie en basisapparaatinformatie. Bovendien steelt de malware verschillende media- en documentbestanden van specifieke bestandstypen, zoals jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 en crypt32. Met name de crypt-bestandsextensies komen overeen met WhatsApp Messenger-back-ups.

Bovendien is een van de opmerkelijke nieuwe functies van GravityRAT de mogelijkheid om drie verschillende opdrachten van de C2-server te ontvangen. Deze opdrachten omvatten 'verwijder alle bestanden' (van een opgegeven extensie), 'verwijder alle contacten' en 'verwijder alle oproeplogboeken'. Deze mogelijkheid geeft de bedreigingsactor aanzienlijke controle over het gecompromitteerde apparaat en stelt hem in staat om mogelijk schadelijke acties uit te voeren.

Gebruikers moeten uiterste voorzichtigheid betrachten bij het verlenen van machtigingen aan apps en de machtigingen die door elke toepassing worden gevraagd, zelfs als deze ogenschijnlijk legitiem zijn, zorgvuldig controleren. Door apparaten regelmatig bij te werken, betrouwbare beveiligingsoplossingen te gebruiken en waakzaam te zijn voor verdacht app-gedrag, kunnen de risico's van dergelijke geavanceerde malwarecampagnes worden beperkt.