Mobilný malvér GravityRAT
Od augusta 2022 bola zistená nová kampaň na malvér pre Android, ktorá šíri najnovšiu verziu GravityRAT a kompromituje mobilné zariadenia. Malvér využíva ako prostriedok infekcie trojanizovanú chatovaciu aplikáciu s názvom „BingeChat“, ktorej cieľom je ukradnúť údaje zo zariadení obetí.
Najnovšia verzia GravityRAT prichádza s pozoruhodnými vylepšeniami, vrátane možnosti ukradnúť záložné súbory WhatsApp. Tieto záložné súbory, určené na pomoc používateľom pri prenose ich histórie správ, mediálnych súborov a údajov do nových zariadení, môžu obsahovať citlivé informácie, ako sú text, videá, fotografie, dokumenty a ďalšie, všetko v nezašifrovanom formáte.
GravityRAT je síce aktívny minimálne od roku 2015, no na zariadenia so systémom Android sa začal zameriavať až v roku 2020. Operátori stojaci za týmto malvérom, známym ako „SpaceCobra“, využívajú spyware výhradne na svoje vysoko cielené operácie.
Kyberzločinci maskujú GravityRAT ako užitočné chatovacie aplikácie
Spyware, maskovaný ako chatovacia aplikácia „BingeChat“, tvrdí, že ponúka šifrovanie typu end-to-end a môže sa pochváliť užívateľsky prívetivým rozhraním spolu s pokročilými funkciami. Škodlivá aplikácia je primárne distribuovaná prostredníctvom webovej stránky bingechat.net a prípadne iných domén alebo kanálov. Prístup k stiahnutiu je však obmedzený na pozvané osoby, ktoré musia poskytnúť platné poverenia alebo si zaregistrovať nový účet.
V súčasnosti sú registrácie aplikácie uzavreté, čo obmedzuje jej distribúciu na konkrétne ciele. Táto metóda nielenže umožňuje páchateľom doručiť malvér selektívne, ale predstavuje aj výzvu pre výskumníkov, ktorí sa snažia získať kópiu na analýzu.
V opakujúcom sa vzore sa operátori GravityRAT uchýlili k propagácii škodlivých Android APK pomocou chatovacej aplikácie s názvom „SoSafe“ v roku 2021 a predtým inej aplikácie s názvom „Travel Mate Pro“. Tieto aplikácie boli trojanizované verzie OMEMO IM, legitímnej open source aplikácie na okamžité zasielanie správ pre Android.
Je pozoruhodné, že SpaceCobra predtým využívala OMEMO IM ako základ pre ďalšiu podvodnú aplikáciu s názvom „Chatico“. V lete 2022 bolo Chatico distribuované do cieľov prostredníctvom už neexistujúcej webovej stránky „chatico.co.uk“.
V mobilnej hrozbe GravityRAT sa nachádzajú škodlivé schopnosti
Po inštalácii na cieľovom zariadení si BingeChat vyžiada povolenia, ktoré so sebou nesú prirodzené riziká. Tieto povolenia zahŕňajú prístup ku kontaktom, polohe, telefónu, SMS, úložisku, denníkom hovorov, fotoaparátu a mikrofónu. Keďže tieto povolenia zvyčajne vyžadujú aplikácie na odosielanie okamžitých správ, je nepravdepodobné, že by vzbudzovali podozrenie alebo sa obeti javili ako neobvyklé.
Predtým, ako sa používateľ zaregistruje na BingeChat, aplikácia tajne odošle kľúčové informácie na server Command-and-Control (C2) aktéra hrozby. Patria sem denníky hovorov, zoznamy kontaktov, správy SMS, poloha zariadenia a základné informácie o zariadení. Okrem toho malvér kradne rôzne mediálne a dokumentové súbory špecifických typov súborov, ako sú jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 a crypt32. Najmä prípony súborov crypt zodpovedajú zálohám WhatsApp Messenger.
Okrem toho je jednou z pozoruhodných nových funkcií GravityRAT jeho schopnosť prijímať tri rôzne príkazy zo servera C2. Tieto príkazy zahŕňajú „vymazať všetky súbory“ (so špecifikovanou príponou), „vymazať všetky kontakty“ a „vymazať všetky protokoly hovorov“. Táto schopnosť poskytuje aktérovi hrozby významnú kontrolu nad napadnutým zariadením a umožňuje mu vykonávať potenciálne škodlivé akcie.
Používatelia by mali byť pri udeľovaní povolení aplikáciám maximálne opatrní a pozorne kontrolovať povolenia požadované akoukoľvek aplikáciou, dokonca aj zdanlivo legitímnou. Pravidelná aktualizácia zariadení, používanie spoľahlivých bezpečnostných riešení a ostražitosť voči podozrivému správaniu aplikácií môže pomôcť zmierniť riziká spojené s takýmito sofistikovanými kampaňami proti malvéru.
