GravityRAT Mobile Malware

Din august 2022, a fost detectată o nouă campanie de malware pentru Android, răspândind cea mai recentă versiune a GravityRAT și compromițând dispozitivele mobile. Malware-ul folosește o aplicație de chat troian numită „BingeChat” ca mijloc de infectare, cu scopul de a fura date de pe dispozitivele victimelor.

Cea mai recentă versiune a GravityRAT vine cu îmbunătățiri notabile, inclusiv capacitatea de a fura fișierele de rezervă WhatsApp. Aceste fișiere de rezervă, concepute pentru a ajuta utilizatorii să își transfere istoricul mesajelor, fișierele media și datele pe dispozitive noi, pot conține informații sensibile, cum ar fi text, videoclipuri, fotografii, documente și multe altele, toate într-un format necriptat.

Deși GravityRAT este activ din cel puțin 2015, a început să vizeze dispozitivele Android abia în 2020. Operatorii din spatele acestui malware, cunoscut sub numele de „SpaceCobra”, folosesc spyware-ul exclusiv pentru operațiunile lor foarte bine direcționate.

Infractorii cibernetici deghizează GravityRAT ca aplicații utile de chat

Programul spyware, deghizat în aplicația de chat „BingeChat”, pretinde că oferă criptare end-to-end și se mândrește cu o interfață ușor de utilizat, împreună cu funcții avansate. Aplicația rău intenționată este distribuită în principal prin site-ul web „bingechat.net” și, eventual, prin alte domenii sau canale. Cu toate acestea, accesul la descărcare este limitat la persoanele invitate care trebuie să furnizeze acreditări valide sau să înregistreze un cont nou.

În prezent, înregistrările pentru aplicație sunt închise, limitând distribuția acesteia la ținte specifice. Această metodă nu numai că permite infractorilor să livreze malware-ul în mod selectiv, dar reprezintă și o provocare pentru cercetătorii care doresc să obțină o copie pentru analiză.

Într-un model recurent, operatorii GravityRAT au recurs la promovarea APK-urilor Android rău intenționate folosind o aplicație de chat numită „SoSafe” în 2021 și, înainte de aceasta, o altă aplicație numită „Travel Mate Pro”. Aceste aplicații erau versiuni trojanizate ale OMEMO IM, o aplicație legitimă de mesagerie instantanee open-source pentru Android.

În special, SpaceCobra a folosit anterior OMEMO IM ca bază pentru încă o aplicație frauduloasă numită „Chatico”. În vara anului 2022, Chatico a fost distribuit către ținte prin intermediul site-ului acum dispărut „chatico.co.uk”.

Capacități rău intenționate găsite în amenințarea GravityRAT Mobile

La instalare pe dispozitivul țintei, BingeChat solicită permisiuni care implică riscuri inerente. Aceste permisiuni includ acces la contacte, locație, telefon, SMS, stocare, jurnalele de apeluri, cameră și microfon. Deoarece aceste permisiuni sunt de obicei cerute de aplicațiile de mesagerie instantanee, este puțin probabil să ridice suspiciuni sau să pară anormale pentru victimă.

Înainte ca un utilizator să se înregistreze în BingeChat, aplicația trimite pe ascuns informații cruciale către serverul de comandă și control (C2) al actorului amenințării. Acestea includ jurnalele de apeluri, listele de contacte, mesajele SMS, locația dispozitivului și informațiile de bază ale dispozitivului. În plus, malware-ul fură diferite fișiere media și documente de tipuri de fișiere specifice, cum ar fi jpg, jpeg, jurnal, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 și crypt32. În special, extensiile fișierelor criptate corespund backup-urilor WhatsApp Messenger.

În plus, una dintre noile caracteristici notabile ale GravityRAT este capacitatea sa de a primi trei comenzi distincte de la serverul C2. Aceste comenzi includ „Ștergeți toate fișierele” (cu o extensie specificată), „Ștergeți toate contactele” și „Ștergeți toate jurnalele de apeluri”. Această capacitate oferă actorului amenințării un control semnificativ asupra dispozitivului compromis și îi permite să execute acțiuni potențial dăunătoare.

Utilizatorii ar trebui să fie extrem de precauți atunci când acordă permisiuni aplicațiilor și să examineze cu atenție permisiunile solicitate de orice aplicație, chiar și cele aparent legitime. Actualizarea regulată a dispozitivelor, utilizarea unor soluții de securitate fiabile și a fi vigilenți împotriva comportamentului suspect al aplicațiilor pot ajuta la atenuarea riscurilor asociate cu astfel de campanii sofisticate de malware.