GravityRAT ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ

ਅਗਸਤ 2022 ਤੋਂ, ਇੱਕ ਨਵੀਂ Android ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ ਹੈ, ਜੋ GravityRAT ਦੇ ਨਵੀਨਤਮ ਸੰਸਕਰਣ ਨੂੰ ਫੈਲਾਉਂਦਾ ਹੈ ਅਤੇ ਮੋਬਾਈਲ ਡਿਵਾਈਸਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਦਾ ਹੈ। ਮਾਲਵੇਅਰ 'ਬਿੰਗਚੈਟ' ਨਾਮਕ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਚੈਟ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਵਰਤੋਂ ਆਪਣੇ ਸੰਕਰਮਣ ਦੇ ਸਾਧਨ ਵਜੋਂ ਕਰਦਾ ਹੈ, ਜਿਸਦਾ ਉਦੇਸ਼ ਪੀੜਤਾਂ ਦੇ ਡਿਵਾਈਸਾਂ ਤੋਂ ਡਾਟਾ ਚੋਰੀ ਕਰਨਾ ਹੈ।

GravityRAT ਦਾ ਨਵੀਨਤਮ ਸੰਸਕਰਣ ਮਹੱਤਵਪੂਰਨ ਸੁਧਾਰਾਂ ਦੇ ਨਾਲ ਆਉਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ WhatsApp ਬੈਕਅੱਪ ਫਾਈਲਾਂ ਨੂੰ ਪਿਲਫਰ ਕਰਨ ਦੀ ਯੋਗਤਾ ਵੀ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਬੈਕਅੱਪ ਫਾਈਲਾਂ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਸੰਦੇਸ਼ ਇਤਿਹਾਸ, ਮੀਡੀਆ ਫਾਈਲਾਂ, ਅਤੇ ਡੇਟਾ ਨੂੰ ਨਵੇਂ ਡਿਵਾਈਸਾਂ ਵਿੱਚ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਵਿੱਚ ਸਹਾਇਤਾ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ, ਵਿੱਚ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਜਿਵੇਂ ਕਿ ਟੈਕਸਟ, ਵੀਡੀਓ, ਫੋਟੋਆਂ, ਦਸਤਾਵੇਜ਼, ਅਤੇ ਹੋਰ ਬਹੁਤ ਕੁਝ ਸ਼ਾਮਲ ਹੋ ਸਕਦਾ ਹੈ, ਸਭ ਇੱਕ ਅਣ-ਇਨਕ੍ਰਿਪਟਡ ਫਾਰਮੈਟ ਵਿੱਚ।

ਜਦੋਂ ਕਿ GravityRAT ਘੱਟੋ-ਘੱਟ 2015 ਤੋਂ ਸਰਗਰਮ ਹੈ, ਇਸਨੇ ਸਿਰਫ 2020 ਵਿੱਚ ਐਂਡਰੌਇਡ ਡਿਵਾਈਸਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ ਸ਼ੁਰੂ ਕੀਤਾ ਸੀ। ਇਸ ਮਾਲਵੇਅਰ ਦੇ ਪਿੱਛੇ ਦੇ ਆਪਰੇਟਰ, 'ਸਪੇਸਕੋਬਰਾ' ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਹਨ, ਖਾਸ ਤੌਰ 'ਤੇ ਆਪਣੇ ਉੱਚ-ਨਿਸ਼ਾਨਾ ਕਾਰਜਾਂ ਲਈ ਸਪਾਈਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।

ਸਾਈਬਰ ਅਪਰਾਧੀ GravityRAT ਨੂੰ ਉਪਯੋਗੀ ਚੈਟ ਐਪਸ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਦਿੰਦੇ ਹਨ

ਸਪਾਈਵੇਅਰ, ਚੈਟ ਐਪ 'ਬਿੰਗਚੈਟ' ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ, ਐਂਡ-ਟੂ-ਐਂਡ ਐਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਨ ਦਾ ਦਾਅਵਾ ਕਰਦਾ ਹੈ ਅਤੇ ਉੱਨਤ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੇ ਨਾਲ ਇੱਕ ਉਪਭੋਗਤਾ-ਅਨੁਕੂਲ ਇੰਟਰਫੇਸ ਦਾ ਦਾਅਵਾ ਕਰਦਾ ਹੈ। ਖਤਰਨਾਕ ਐਪ ਮੁੱਖ ਤੌਰ 'ਤੇ ਵੈੱਬਸਾਈਟ 'bingechat.net' ਅਤੇ ਸੰਭਵ ਤੌਰ 'ਤੇ ਹੋਰ ਡੋਮੇਨਾਂ ਜਾਂ ਚੈਨਲਾਂ ਰਾਹੀਂ ਵੰਡੀ ਜਾਂਦੀ ਹੈ। ਹਾਲਾਂਕਿ, ਡਾਉਨਲੋਡ ਤੱਕ ਪਹੁੰਚ ਉਹਨਾਂ ਸੱਦੇ ਗਏ ਵਿਅਕਤੀਆਂ ਤੱਕ ਸੀਮਤ ਹੈ ਜਿਨ੍ਹਾਂ ਨੂੰ ਵੈਧ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪ੍ਰਦਾਨ ਕਰਨੇ ਚਾਹੀਦੇ ਹਨ ਜਾਂ ਇੱਕ ਨਵਾਂ ਖਾਤਾ ਰਜਿਸਟਰ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।

ਵਰਤਮਾਨ ਵਿੱਚ, ਐਪ ਲਈ ਰਜਿਸਟ੍ਰੇਸ਼ਨਾਂ ਬੰਦ ਹਨ, ਇਸਦੀ ਵੰਡ ਨੂੰ ਖਾਸ ਟੀਚਿਆਂ ਤੱਕ ਸੀਮਤ ਕਰਦੇ ਹੋਏ। ਇਹ ਵਿਧੀ ਨਾ ਸਿਰਫ਼ ਗੁਨਾਹਗਾਰਾਂ ਨੂੰ ਚੋਣਵੇਂ ਰੂਪ ਵਿੱਚ ਮਾਲਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀ ਹੈ, ਸਗੋਂ ਵਿਸ਼ਲੇਸ਼ਣ ਲਈ ਇੱਕ ਕਾਪੀ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਮੰਗ ਕਰਨ ਵਾਲੇ ਖੋਜਕਰਤਾਵਾਂ ਲਈ ਇੱਕ ਚੁਣੌਤੀ ਵੀ ਖੜ੍ਹੀ ਕਰਦੀ ਹੈ।

ਇੱਕ ਆਵਰਤੀ ਪੈਟਰਨ ਵਿੱਚ, GravityRAT ਦੇ ਆਪਰੇਟਰਾਂ ਨੇ 2021 ਵਿੱਚ 'SoSafe' ਨਾਮ ਦੀ ਇੱਕ ਚੈਟ ਐਪ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਖਤਰਨਾਕ Android APKs ਨੂੰ ਉਤਸ਼ਾਹਿਤ ਕਰਨ ਦਾ ਸਹਾਰਾ ਲਿਆ ਅਤੇ ਇਸ ਤੋਂ ਪਹਿਲਾਂ, 'Travel Mate Pro' ਨਾਮਕ ਇੱਕ ਹੋਰ ਐਪ। ਇਹ ਐਪਸ OMEMO IM ਦੇ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਵਰਜਨ ਸਨ, ਜੋ ਕਿ ਐਂਡਰੌਇਡ ਲਈ ਇੱਕ ਜਾਇਜ਼ ਓਪਨ-ਸੋਰਸ ਇੰਸਟੈਂਟ ਮੈਸੇਂਜਰ ਐਪ ਹੈ।

ਖਾਸ ਤੌਰ 'ਤੇ, ਸਪੇਸਕੋਬਰਾ ਨੇ ਪਹਿਲਾਂ 'ਚੈਟਿਕੋ' ਨਾਮਕ ਇੱਕ ਹੋਰ ਧੋਖੇਬਾਜ਼ ਐਪ ਲਈ ਇੱਕ ਬੁਨਿਆਦ ਵਜੋਂ OMEMO IM ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਸੀ। 2022 ਦੀਆਂ ਗਰਮੀਆਂ ਵਿੱਚ, Chatico ਨੂੰ ਹੁਣ ਬੰਦ ਹੋ ਚੁੱਕੀ ਵੈੱਬਸਾਈਟ 'chatico.co.uk' ਰਾਹੀਂ ਟੀਚਿਆਂ ਵਿੱਚ ਵੰਡਿਆ ਗਿਆ ਸੀ।

GravityRAT ਮੋਬਾਈਲ ਖ਼ਤਰੇ ਵਿੱਚ ਖਰਾਬ ਸਮਰੱਥਾਵਾਂ ਮਿਲੀਆਂ

ਟੀਚੇ ਦੀ ਡਿਵਾਈਸ 'ਤੇ ਸਥਾਪਨਾ ਕਰਨ 'ਤੇ, BingeChat ਅਨੁਮਤੀਆਂ ਦੀ ਬੇਨਤੀ ਕਰਦਾ ਹੈ ਜੋ ਅੰਦਰੂਨੀ ਜੋਖਮਾਂ ਨੂੰ ਲੈ ਕੇ ਹੁੰਦੀਆਂ ਹਨ। ਇਹਨਾਂ ਅਨੁਮਤੀਆਂ ਵਿੱਚ ਸੰਪਰਕਾਂ, ਸਥਾਨ, ਫ਼ੋਨ, SMS, ਸਟੋਰੇਜ, ਕਾਲ ਲੌਗ, ਕੈਮਰਾ ਅਤੇ ਮਾਈਕ੍ਰੋਫ਼ੋਨ ਤੱਕ ਪਹੁੰਚ ਸ਼ਾਮਲ ਹੈ। ਕਿਉਂਕਿ ਇਹ ਅਨੁਮਤੀਆਂ ਆਮ ਤੌਰ 'ਤੇ ਤਤਕਾਲ ਮੈਸੇਜਿੰਗ ਐਪਸ ਦੁਆਰਾ ਲੋੜੀਂਦੀਆਂ ਹੁੰਦੀਆਂ ਹਨ, ਇਸ ਲਈ ਉਹਨਾਂ ਦੇ ਸ਼ੱਕ ਪੈਦਾ ਕਰਨ ਜਾਂ ਪੀੜਤ ਲਈ ਅਸਧਾਰਨ ਦਿਖਾਈ ਦੇਣ ਦੀ ਸੰਭਾਵਨਾ ਨਹੀਂ ਹੁੰਦੀ ਹੈ।

BingeChat ਵਿੱਚ ਉਪਭੋਗਤਾ ਦੇ ਰਜਿਸਟਰ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ, ਐਪ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨੂੰ ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਮਹੱਤਵਪੂਰਣ ਜਾਣਕਾਰੀ ਭੇਜਦਾ ਹੈ। ਇਸ ਵਿੱਚ ਕਾਲ ਲੌਗ, ਸੰਪਰਕ ਸੂਚੀਆਂ, SMS ਸੁਨੇਹੇ, ਡਿਵਾਈਸ ਟਿਕਾਣਾ, ਅਤੇ ਬੁਨਿਆਦੀ ਡਿਵਾਈਸ ਜਾਣਕਾਰੀ ਸ਼ਾਮਲ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਖਾਸ ਫਾਈਲ ਕਿਸਮਾਂ ਦੀਆਂ ਕਈ ਮੀਡੀਆ ਅਤੇ ਦਸਤਾਵੇਜ਼ ਫਾਈਲਾਂ ਨੂੰ ਚੋਰੀ ਕਰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18, ਅਤੇ crypt32। ਖਾਸ ਤੌਰ 'ਤੇ, ਕ੍ਰਿਪਟ ਫਾਈਲ ਐਕਸਟੈਂਸ਼ਨ ਵਟਸਐਪ ਮੈਸੇਂਜਰ ਬੈਕਅੱਪ ਨਾਲ ਮੇਲ ਖਾਂਦੀਆਂ ਹਨ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, GravityRAT ਦੀਆਂ ਨਵੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ C2 ਸਰਵਰ ਤੋਂ ਤਿੰਨ ਵੱਖਰੀਆਂ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਯੋਗਤਾ ਹੈ। ਇਹਨਾਂ ਕਮਾਂਡਾਂ ਵਿੱਚ 'ਸਾਰੀਆਂ ਫਾਈਲਾਂ ਨੂੰ ਮਿਟਾਓ' (ਇੱਕ ਨਿਰਧਾਰਤ ਐਕਸਟੈਂਸ਼ਨ ਦੀਆਂ), 'ਸਾਰੇ ਸੰਪਰਕਾਂ ਨੂੰ ਮਿਟਾਓ' ਅਤੇ 'ਸਾਰੇ ਕਾਲ ਲੌਗਸ ਨੂੰ ਮਿਟਾਓ' ਸ਼ਾਮਲ ਹਨ। ਇਹ ਸਮਰੱਥਾ ਖ਼ਤਰੇ ਦੇ ਅਭਿਨੇਤਾ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸ 'ਤੇ ਮਹੱਤਵਪੂਰਣ ਨਿਯੰਤਰਣ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਨੁਕਸਾਨਦੇਹ ਕਾਰਵਾਈਆਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।

ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਐਪਸ ਨੂੰ ਅਨੁਮਤੀਆਂ ਦੇਣ ਵੇਲੇ ਬਹੁਤ ਸਾਵਧਾਨੀ ਵਰਤਣੀ ਚਾਹੀਦੀ ਹੈ ਅਤੇ ਕਿਸੇ ਵੀ ਐਪਲੀਕੇਸ਼ਨ ਦੁਆਰਾ ਬੇਨਤੀ ਕੀਤੀ ਗਈ ਅਨੁਮਤੀਆਂ ਦੀ ਧਿਆਨ ਨਾਲ ਸਮੀਖਿਆ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ, ਇੱਥੋਂ ਤੱਕ ਕਿ ਜਾਇਜ਼ ਵੀ ਜਾਪਦੀ ਹੈ। ਡਿਵਾਈਸਾਂ ਨੂੰ ਨਿਯਮਤ ਤੌਰ 'ਤੇ ਅੱਪਡੇਟ ਕਰਨਾ, ਭਰੋਸੇਯੋਗ ਸੁਰੱਖਿਆ ਹੱਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ, ਅਤੇ ਸ਼ੱਕੀ ਐਪ ਵਿਵਹਾਰ ਦੇ ਵਿਰੁੱਧ ਚੌਕਸ ਰਹਿਣਾ ਅਜਿਹੇ ਵਧੀਆ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮਾਂ ਨਾਲ ਜੁੜੇ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰ ਸਕਦਾ ਹੈ।