Мобильное вредоносное ПО GravityRAT

С августа 2022 года была обнаружена новая кампания вредоносных программ для Android, распространяющая последнюю версию GravityRAT и компрометирующая мобильные устройства. Вредоносное ПО использует троянизированное чат-приложение BingeChat в качестве средства заражения с целью кражи данных с устройств жертв.

Последняя версия GravityRAT имеет заметные улучшения, в том числе возможность воровать файлы резервных копий WhatsApp. Эти файлы резервных копий, предназначенные для помощи пользователям в переносе истории сообщений, мультимедийных файлов и данных на новые устройства, могут содержать конфиденциальную информацию, такую как текст, видео, фотографии, документы и многое другое, в незашифрованном формате.

Хотя GravityRAT был активен по крайней мере с 2015 года, он начал нацеливаться на устройства Android только в 2020 году. Операторы этого вредоносного ПО, известного как «SpaceCobra», используют шпионское ПО исключительно для своих узконаправленных операций.

Киберпреступники маскируют GravityRAT под полезные чат-приложения

Шпионское ПО, замаскированное под чат-приложение BingeChat, предлагает сквозное шифрование и может похвастаться удобным интерфейсом и расширенными функциями. Вредоносное приложение в основном распространяется через веб-сайт bingechat.net и, возможно, через другие домены или каналы. Однако доступ к загрузке ограничен приглашенными лицами, которые должны предоставить действительные учетные данные или зарегистрировать новую учетную запись.

В настоящее время регистрация для приложения закрыта, что ограничивает его распространение определенными целями. Этот метод не только позволяет злоумышленникам выборочно доставлять вредоносное ПО, но и создает проблемы для исследователей, стремящихся получить копию для анализа.

По повторяющейся схеме операторы GravityRAT прибегали к продвижению вредоносных APK-файлов Android с помощью приложения для чата под названием SoSafe в 2021 году, а до этого — другого приложения под названием Travel Mate Pro. Эти приложения были троянскими версиями OMEMO IM, законного приложения для обмена мгновенными сообщениями с открытым исходным кодом для Android.

Примечательно, что SpaceCobra ранее использовала OMEMO IM в качестве основы для еще одного мошеннического приложения под названием «Chatico». Летом 2022 года Chatico распространялся среди целевых пользователей через ныне несуществующий веб-сайт chatico.co.uk.

Вредоносные возможности, обнаруженные в мобильной угрозе GravityRAT

После установки на целевом устройстве BingeChat запрашивает разрешения, которые сопряжены с неотъемлемыми рисками. Эти разрешения включают доступ к контактам, местоположению, телефону, SMS, хранилищу, журналам вызовов, камере и микрофону. Поскольку эти разрешения обычно требуются приложениям для обмена мгновенными сообщениями, они вряд ли вызовут подозрения или покажутся жертве ненормальными.

Прежде чем пользователь зарегистрируется в BingeChat, приложение тайно отправляет важную информацию на сервер Command-and-Control (C2) злоумышленника. Сюда входят журналы вызовов, списки контактов, SMS-сообщения, местоположение устройства и основная информация об устройстве. Кроме того, вредоносное ПО крадет различные мультимедийные файлы и файлы документов определенных типов, таких как jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus. , crypt14, crypt12, crypt13, crypt18 и crypt32. Примечательно, что расширения файлов шифрования соответствуют резервным копиям WhatsApp Messenger.

Кроме того, одной из примечательных новых функций GravityRAT является его способность получать три различные команды от сервера C2. Эти команды включают «удалить все файлы» (с указанным расширением), «удалить все контакты» и «удалить все журналы вызовов». Эта возможность предоставляет злоумышленнику существенный контроль над скомпрометированным устройством и позволяет ему выполнять потенциально опасные действия.

Пользователи должны проявлять максимальную осторожность при предоставлении разрешений приложениям и тщательно проверять разрешения, запрашиваемые любым приложением, даже если они кажутся законными. Регулярное обновление устройств, использование надежных решений для обеспечения безопасности и бдительность в отношении подозрительного поведения приложений могут помочь снизить риски, связанные с такими изощренными кампаниями вредоносного ПО.