GravityRAT Mobile Malware

Që nga gushti 2022, është zbuluar një fushatë e re malware Android, e cila përhap versionin më të fundit të GravityRAT dhe kompromenton pajisjet celulare. Malware përdor një aplikacion të trojanizuar të bisedës të quajtur 'BingeChat' si mjetin e tij të infektimit, duke synuar të vjedhë të dhëna nga pajisjet e viktimave.

Versioni i fundit i GravityRAT vjen me përmirësime të dukshme, duke përfshirë aftësinë për të grabitur skedarët rezervë të WhatsApp. Këta skedarë rezervë, të krijuar për të ndihmuar përdoruesit në transferimin e historisë së tyre të mesazheve, skedarëve të medias dhe të dhënave në pajisje të reja, mund të përmbajnë informacione të ndjeshme si tekst, video, foto, dokumente dhe më shumë, të gjitha në një format të pakriptuar.

Ndërsa GravityRAT ka qenë aktiv të paktën që nga viti 2015, ai filloi të synojë pajisjet Android vetëm në vitin 2020. Operatorët që qëndrojnë pas këtij malware, të njohur si 'SpaceCobra', përdorin ekskluzivisht spyware-in për operacionet e tyre shumë të synuara.

Kriminelët kibernetikë maskojnë GravityRAT si aplikacione të dobishme të bisedës

Spyware, i maskuar si aplikacioni i bisedës 'BingeChat', pretendon se ofron kriptim nga fundi në fund dhe krenohet me një ndërfaqe miqësore për përdoruesit së bashku me veçori të avancuara. Aplikacioni keqdashës shpërndahet kryesisht përmes uebsajtit 'bingechat.net' dhe ndoshta domeneve ose kanaleve të tjera. Megjithatë, qasja në shkarkim është e kufizuar për individët e ftuar të cilët duhet të japin kredenciale të vlefshme ose të regjistrojnë një llogari të re.

Aktualisht, regjistrimet për aplikacionin janë mbyllur, duke kufizuar shpërndarjen e tij në objektiva specifike. Kjo metodë jo vetëm që i lejon autorët të dorëzojnë malware në mënyrë selektive, por gjithashtu përbën një sfidë për studiuesit që kërkojnë të marrin një kopje për analizë.

Në një model të përsëritur, operatorët e GravityRAT iu drejtuan promovimit të APK-ve me qëllim të keq Android duke përdorur një aplikacion chat të quajtur "SoSafe" në vitin 2021 dhe para kësaj, një aplikacion tjetër të quajtur "Travel Mate Pro". Këto aplikacione ishin versione të trojanizuara të OMEMO IM, një aplikacion legjitim i mesazheve të çastit me burim të hapur për Android.

Veçanërisht, SpaceCobra përdori më parë OMEMO IM si një bazë për një aplikacion tjetër mashtrues të quajtur 'Chatico'. Në verën e vitit 2022, Chatico u shpërnda tek objektivat përmes faqes së internetit tashmë të zhdukur 'chatico.co.uk.'

Gjenden aftësi keqdashëse në kërcënimin celular GravityRAT

Pas instalimit në pajisjen e objektivit, BingeChat kërkon leje që mbartin rreziqe të qenësishme. Këto leje përfshijnë aksesin te kontaktet, vendndodhjen, telefonin, SMS, hapësirën ruajtëse, regjistrat e thirrjeve, kamerën dhe mikrofonin. Meqenëse këto leje zakonisht kërkohen nga aplikacionet e mesazheve të çastit, ato nuk kanë gjasa të ngjallin dyshime ose të duken jonormale për viktimën.

Përpara se një përdorues të regjistrohet në BingeChat, aplikacioni dërgon në mënyrë të fshehtë informacione thelbësore në serverin Command-and-Control (C2) të aktorit të kërcënimit. Kjo përfshin regjistrat e telefonatave, listat e kontakteve, mesazhet SMS, vendndodhjen e pajisjes dhe informacionin bazë të pajisjes. Për më tepër, malware vjedh skedarë të ndryshëm mediash dhe dokumentesh të llojeve specifike të skedarëve, si jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 dhe crypt32. Veçanërisht, shtesat e skedarëve crypt korrespondojnë me kopjet rezervë të WhatsApp Messenger.

Për më tepër, një nga veçoritë e reja të dukshme të GravityRAT është aftësia e tij për të marrë tre komanda të dallueshme nga serveri C2. Këto komanda përfshijnë "fshini të gjithë skedarët" (të një shtesë të caktuar), "fshini të gjitha kontaktet" dhe "fshini të gjitha regjistrat e thirrjeve". Kjo aftësi i jep aktorit të kërcënimit kontroll të rëndësishëm mbi pajisjen e komprometuar dhe i lejon ata të kryejnë veprime potencialisht të dëmshme.

Përdoruesit duhet të tregojnë kujdes maksimal kur u japin leje aplikacioneve dhe të shqyrtojnë me kujdes lejet e kërkuara nga çdo aplikacion, madje edhe ato në dukje të ligjshme. Përditësimi i rregullt i pajisjeve, përdorimi i zgjidhjeve të besueshme të sigurisë dhe të qenit vigjilent ndaj sjelljeve të dyshimta të aplikacioneve mund të ndihmojnë në zbutjen e rreziqeve që lidhen me fushata të tilla të sofistikuara malware.