ГравитиРАТ Мобиле Малваре

Од августа 2022. откривена је нова кампања злонамерног софтвера за Андроид, која шири најновију верзију ГравитиРАТ-а и компромитује мобилне уређаје. Злонамерни софтвер користи тројанизовану апликацију за ћаскање под називом „БингеЦхат“ као средство заразе, са циљем да украде податке са уређаја жртава.

Најновија верзија ГравитиРАТ-а долази са значајним побољшањима, укључујући могућност крађе ВхатсАпп датотека резервних копија. Ове резервне датотеке, дизајниране да помогну корисницима у преношењу историје порука, медијских датотека и података на нове уређаје, могу да садрже осетљиве информације као што су текст, видео снимци, фотографије, документи и друго, све у нешифрованом формату.

Иако је ГравитиРАТ активан најмање од 2015. године, почео је да циља Андроид уређаје тек 2020. Оператери који стоје иза овог малвера, познатог као „СпацеЦобра“, искључиво користе шпијунски софтвер за своје високо циљане операције.

Сајбер криминалци прикривају ГравитиРАТ као корисне апликације за ћаскање

Шпијунски софтвер, прерушен у апликацију за ћаскање 'БингеЦхат', тврди да нуди енд-то-енд енкрипцију и може се похвалити корисничким интерфејсом заједно са напредним функцијама. Злонамерна апликација се првенствено дистрибуира преко веб локације 'бингецхат.нет' и евентуално других домена или канала. Међутим, приступ преузимању је ограничен на позване особе које морају дати важеће акредитиве или регистровати нови налог.

Тренутно су регистрације за апликацију затворене, ограничавајући њену дистрибуцију на одређене циљеве. Овај метод не само да омогућава починиоцима да селективно испоручују злонамерни софтвер, већ и представља изазов за истраживаче који желе да добију копију за анализу.

У обрасцу који се понавља, оператери ГравитиРАТ-а прибегли су промовисању злонамерних Андроид АПК-ова помоћу апликације за ћаскање под називом „СоСафе“ 2021. године, а пре тога, друге апликације под називом „Травел Мате Про“. Ове апликације су биле тројанизоване верзије ОМЕМО ИМ-а, легитимне апликације за инстант мессенгер отвореног кода за Андроид.

Посебно, СпацеЦобра је раније користила ОМЕМО ИМ као основу за још једну лажну апликацију под називом „Цхатицо“. У лето 2022. године, Цхатицо је дистрибуиран метама преко сада непостојеће веб странице „цхатицо.цо.ук“.

Злонамерне могућности пронађене у претњи ГравитиРАТ Мобиле

Након инсталације на циљном уређају, БингеЦхат захтева дозволе које носе инхерентне ризике. Ове дозволе укључују приступ контактима, локацији, телефону, СМС-у, складишту, евиденцији позива, камери и микрофону. Пошто ове дозволе обично захтевају апликације за размену тренутних порука, мало је вероватно да ће изазвати сумњу или ће жртви изгледати ненормално.

Пре него што се корисник региструје у БингеЦхат-у, апликација потајно шаље кључне информације на сервер за команду и контролу (Ц2) актера претње. Ово укључује евиденције позива, листе контаката, СМС поруке, локацију уређаја и основне информације о уређају. Поред тога, злонамерни софтвер краде различите медијске датотеке и датотеке докумената одређених типова датотека, као што су јпг, јпег, лог, пнг, ПНГ, ЈПГ, ЈПЕГ, ткт, пдф, кмл, доц, клс, клск, ппт, пптк, доцк, опус , црипт14, црипт12, црипт13, црипт18 и црипт32. Посебно, екстензије криптованих датотека одговарају резервним копијама ВхатсАпп Мессенгер-а.

Штавише, једна од значајних нових карактеристика ГравитиРАТ-а је његова способност да прима три различите команде са Ц2 сервера. Ове команде укључују „избриши све датотеке“ (са одређеном екстензијом), „избриши све контакте“ и „избриши све евиденције позива“. Ова могућност даје актеру претње значајну контролу над компромитованим уређајем и омогућава му да изврши потенцијално штетне радње.

Корисници би требало да буду крајње опрезни када дају дозволе апликацијама и пажљиво прегледају дозволе које захтева било која апликација, чак и оне наизглед легитимне. Редовно ажурирање уређаја, коришћење поузданих безбедносних решења и опрез против сумњивог понашања апликација могу помоћи у смањењу ризика повезаних са тако софистицираним кампањама против малвера.