Mobilne złośliwe oprogramowanie GravityRAT

Od sierpnia 2022 r. wykrywana jest nowa kampania złośliwego oprogramowania na Androida, która rozprzestrzenia najnowszą wersję GravityRAT i atakuje urządzenia mobilne. Szkodliwe oprogramowanie wykorzystuje trojanizowaną aplikację czatu o nazwie „BingeChat” jako środek infekcji, mający na celu kradzież danych z urządzeń ofiar.

Najnowsza wersja GravityRAT zawiera znaczące ulepszenia, w tym możliwość kradzieży plików kopii zapasowych WhatsApp. Te pliki kopii zapasowych, zaprojektowane, aby pomóc użytkownikom w przenoszeniu historii wiadomości, plików multimedialnych i danych na nowe urządzenia, mogą zawierać poufne informacje, takie jak tekst, filmy, zdjęcia, dokumenty i inne, a wszystko to w niezaszyfrowanym formacie.

Chociaż GravityRAT jest aktywny od co najmniej 2015 r., zaczął atakować urządzenia z Androidem dopiero w 2020 r. Operatorzy stojący za tym złośliwym oprogramowaniem, znanym jako „SpaceCobra”, wykorzystują oprogramowanie szpiegowskie wyłącznie do swoich wysoce ukierunkowanych operacji.

Cyberprzestępcy ukrywają GravityRAT jako przydatne aplikacje do czatowania

Oprogramowanie szpiegowskie, przebrane za aplikację do czatu „BingeChat”, twierdzi, że oferuje kompleksowe szyfrowanie i może pochwalić się przyjaznym dla użytkownika interfejsem oraz zaawansowanymi funkcjami. Złośliwa aplikacja jest dystrybuowana głównie za pośrednictwem strony internetowej „bingechat.net” i prawdopodobnie innych domen lub kanałów. Jednak dostęp do pobierania jest ograniczony do zaproszonych osób, które muszą podać ważne dane uwierzytelniające lub zarejestrować nowe konto.

Obecnie rejestracje aplikacji są zamknięte, co ogranicza jej dystrybucję do określonych celów. Ta metoda nie tylko pozwala sprawcom na selektywne dostarczanie szkodliwego oprogramowania, ale także stanowi wyzwanie dla badaczy poszukujących kopii do analizy.

W powtarzającym się schemacie operatorzy GravityRAT uciekali się do promowania złośliwych plików APK na Androida za pomocą aplikacji do czatu o nazwie „SoSafe” w 2021 r., a wcześniej innej aplikacji o nazwie „Travel Mate Pro”. Aplikacje te były trojańskimi wersjami OMEMO IM, legalnej aplikacji komunikatora typu open source dla systemu Android.

Warto zauważyć, że SpaceCobra wcześniej wykorzystywała OMEMO IM jako podstawę dla kolejnej fałszywej aplikacji o nazwie „Chatico”. Latem 2022 r. Chatico było dystrybuowane do celów za pośrednictwem nieistniejącej już strony internetowej „chatico.co.uk”.

Złośliwe możliwości wykryte w zagrożeniu mobilnym GravityRAT

Po instalacji na urządzeniu docelowym, BingeChat żąda uprawnień, które niosą ze sobą nieodłączne ryzyko. Te uprawnienia obejmują dostęp do kontaktów, lokalizacji, telefonu, SMS-ów, pamięci, dzienników połączeń, kamery i mikrofonu. Ponieważ te uprawnienia są zwykle wymagane przez komunikatory internetowe, jest mało prawdopodobne, aby wzbudziły one podejrzenia lub wydawały się nienormalne ofierze.

Zanim użytkownik zarejestruje się w BingeChat, aplikacja potajemnie wysyła kluczowe informacje do serwera Command-and-Control (C2) ugrupowania cyberprzestępczego. Obejmuje to dzienniki połączeń, listy kontaktów, wiadomości SMS, lokalizację urządzenia i podstawowe informacje o urządzeniu. Ponadto złośliwe oprogramowanie kradnie różne pliki multimedialne i dokumenty określonego typu, takie jak jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , krypt14, krypt12, krypt13, krypt18 i krypt32. Warto zauważyć, że rozszerzenia plików crypt odpowiadają kopiom zapasowym WhatsApp Messenger.

Co więcej, jedną z godnych uwagi nowych funkcji GravityRAT jest możliwość otrzymywania trzech różnych poleceń z serwera C2. Polecenia te obejmują „usuń wszystkie pliki” (o określonym rozszerzeniu), „usuń wszystkie kontakty” i „usuń wszystkie dzienniki połączeń”. Ta funkcja zapewnia cyberprzestępcy znaczną kontrolę nad zaatakowanym urządzeniem i umożliwia mu wykonywanie potencjalnie szkodliwych działań.

Użytkownicy powinni zachować najwyższą ostrożność podczas udzielania uprawnień aplikacjom i uważnie przeglądać uprawnienia wymagane przez każdą aplikację, nawet pozornie legalną. Regularne aktualizowanie urządzeń, stosowanie niezawodnych rozwiązań zabezpieczających i czujność wobec podejrzanych zachowań aplikacji może pomóc ograniczyć ryzyko związane z takimi wyrafinowanymi kampaniami złośliwego oprogramowania.