Zlonamerna programska oprema za mobilne naprave GravityRAT
Od avgusta 2022 je bila zaznana nova kampanja zlonamerne programske opreme Android, ki širi najnovejšo različico GravityRAT in ogroža mobilne naprave. Zlonamerna programska oprema kot sredstvo za okužbo uporablja trojanizirano aplikacijo za klepet z imenom "BingeChat", katere cilj je ukrasti podatke iz naprav žrtev.
Najnovejša različica GravityRAT je opremljena z opaznimi izboljšavami, vključno z možnostjo kraje varnostnih kopij WhatsApp. Te varnostne kopije datotek, ki so zasnovane za pomoč uporabnikom pri prenosu njihove zgodovine sporočil, medijskih datotek in podatkov v nove naprave, lahko vsebujejo občutljive informacije, kot so besedilo, videoposnetki, fotografije, dokumenti in drugo, vse v nešifrirani obliki.
Medtem ko je GravityRAT aktiven vsaj od leta 2015, je začel ciljati na naprave Android šele leta 2020. Operaterji, ki stojijo za to zlonamerno programsko opremo, znano kot »SpaceCobra«, uporabljajo izključno vohunsko programsko opremo za svoje visoko ciljane operacije.
Kibernetski kriminalci prikrivajo GravityRAT kot uporabne aplikacije za klepet
Vohunska programska oprema, preoblečena v aplikacijo za klepet »BingeChat«, trdi, da ponuja šifriranje od konca do konca in se ponaša z uporabniku prijaznim vmesnikom skupaj z naprednimi funkcijami. Zlonamerna aplikacija se v glavnem distribuira prek spletnega mesta 'bingechat.net' in morda drugih domen ali kanalov. Vendar je dostop do prenosa omejen na povabljene posameznike, ki morajo predložiti veljavne poverilnice ali registrirati nov račun.
Trenutno so registracije za aplikacijo zaprte, kar omejuje njeno distribucijo na določene cilje. Ta metoda ne le omogoča storilcem, da selektivno dostavijo zlonamerno programsko opremo, ampak predstavlja tudi izziv za raziskovalce, ki želijo pridobiti kopijo za analizo.
V ponavljajočem se vzorcu so se operaterji GravityRAT leta 2021 zatekli k promociji zlonamernih APK-jev za Android z aplikacijo za klepet z imenom »SoSafe« in pred tem z drugo aplikacijo, imenovano »Travel Mate Pro«. Te aplikacije so bile trojanske različice OMEMO IM, zakonite odprtokodne aplikacije za neposredno sporočanje za Android.
Predvsem je SpaceCobra pred tem uporabila OMEMO IM kot osnovo za še eno goljufivo aplikacijo, imenovano 'Chatico'. Poleti 2022 je bil Chatico razdeljen tarčam prek zdaj nedelujočega spletnega mesta 'chatico.co.uk'.
V mobilni grožnji GravityRAT so bile najdene zlonamerne zmogljivosti
Po namestitvi v ciljno napravo BingeChat zahteva dovoljenja, ki nosijo inherentna tveganja. Ta dovoljenja vključujejo dostop do stikov, lokacije, telefona, sporočil SMS, pomnilnika, dnevnikov klicev, kamere in mikrofona. Ker ta dovoljenja običajno zahtevajo aplikacije za neposredno sporočanje, je malo verjetno, da bodo zbudila sum ali se žrtvi zdela neobičajna.
Preden se uporabnik registrira v BingeChat, aplikacija prikrito pošlje ključne informacije strežniku Command-and-Control (C2) akterja grožnje. To vključuje dnevnike klicev, sezname stikov, sporočila SMS, lokacijo naprave in osnovne informacije o napravi. Poleg tega zlonamerna programska oprema ukrade različne medijske in dokumentne datoteke določenih vrst datotek, kot so jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 in crypt32. Predvsem razširitve datotek crypt ustrezajo varnostnim kopijam WhatsApp Messengerja.
Poleg tega je ena od pomembnih novih funkcij GravityRAT njegova zmožnost prejemanja treh različnih ukazov s strežnika C2. Ti ukazi vključujejo 'izbriši vse datoteke' (z določeno končnico), 'izbriši vse stike' in 'izbriši vse dnevnike klicev.' Ta zmožnost daje akterju grožnje pomemben nadzor nad ogroženo napravo in mu omogoča izvajanje potencialno škodljivih dejanj.
Uporabniki bi morali biti zelo previdni pri podeljevanju dovoljenj aplikacijam in skrbno pregledati dovoljenja, ki jih zahteva katera koli aplikacija, tudi navidezno legitimna. Redno posodabljanje naprav, uporaba zanesljivih varnostnih rešitev in pazljivost pred sumljivim vedenjem aplikacij lahko pomagajo ublažiti tveganja, povezana s takšnimi sofisticiranimi kampanjami zlonamerne programske opreme.
