GravityRAT mobil skadlig programvara

Sedan augusti 2022 har en ny skadlig programvara för Android upptäckts, som sprider den senaste versionen av GravityRAT och äventyrar mobila enheter. Skadlig programvara använder en trojaniserad chattapplikation som heter "BingeChat" som infektionsmedel, som syftar till att stjäla data från offrens enheter.

Den senaste versionen av GravityRAT kommer med anmärkningsvärda förbättringar, inklusive möjligheten att stjäla WhatsApp backup-filer. Dessa säkerhetskopior, utformade för att hjälpa användare att överföra sin meddelandehistorik, mediefiler och data till nya enheter, kan innehålla känslig information som text, videor, foton, dokument och mer, allt i okrypterat format.

Även om GravityRAT har varit aktiv sedan åtminstone 2015, började den rikta in sig på Android-enheter först 2020. Operatörerna bakom denna skadliga programvara, känd som 'SpaceCobra', använder uteslutande spionprogram för sin mycket riktade verksamhet.

Cyberkriminella döljer GravityRAT som användbara chattappar

Spionprogrammet, förklädd till chattappen "BingeChat", säger sig erbjuda end-to-end-kryptering och har ett användarvänligt gränssnitt tillsammans med avancerade funktioner. Den skadliga appen distribueras främst via webbplatsen 'bingechat.net' och eventuellt andra domäner eller kanaler. Åtkomsten till nedladdningen är dock begränsad till inbjudna personer som måste tillhandahålla giltiga referenser eller registrera ett nytt konto.

För närvarande är registreringar för appen stängda, vilket begränsar dess distribution till specifika mål. Denna metod tillåter inte bara förövarna att leverera skadlig programvara selektivt utan utgör också en utmaning för forskare som vill skaffa en kopia för analys.

I ett återkommande mönster tog GravityRATs operatörer till att marknadsföra skadliga Android APK-filer med en chattapp som heter "SoSafe" 2021 och innan dess, en annan app som heter "Travel Mate Pro." Dessa appar var trojaniserade versioner av OMEMO IM, en legitim open-source instant messenger-app för Android.

Noterbart är att SpaceCobra tidigare använde OMEMO IM som en grund för ännu en bedräglig app som heter "Chatico." Sommaren 2022 distribuerades Chatico till mål via den numera nedlagda webbplatsen "chatico.co.uk".

Skadliga funktioner som finns i GravityRAT Mobile Threat

Vid installation på målets enhet begär BingeChat behörigheter som medför inneboende risker. Dessa behörigheter inkluderar åtkomst till kontakter, plats, telefon, SMS, lagring, samtalsloggar, kamera och mikrofon. Eftersom dessa behörigheter vanligtvis krävs av appar för snabbmeddelanden är det osannolikt att de väcker misstankar eller verkar onormala för offret.

Innan en användare registrerar sig i BingeChat skickar appen i smyg viktig information till hotaktörens Command-and-Control-server (C2). Detta inkluderar samtalsloggar, kontaktlistor, SMS-meddelanden, enhetsplats och grundläggande enhetsinformation. Dessutom stjäl skadlig programvara olika media- och dokumentfiler av specifika filtyper, såsom jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 och crypt32. Noterbart är att kryptfiltilläggen motsvarar WhatsApp Messenger-säkerhetskopior.

Dessutom är en av de anmärkningsvärda nya funktionerna i GravityRAT dess förmåga att ta emot tre distinkta kommandon från C2-servern. Dessa kommandon inkluderar "ta bort alla filer" (av ett angivet tillägg), "radera alla kontakter" och "radera alla samtalsloggar." Denna förmåga ger hotaktören betydande kontroll över den komprometterade enheten och tillåter dem att utföra potentiellt skadliga åtgärder.

Användare bör iaktta yttersta försiktighet när de beviljar behörigheter till appar och noggrant granska de behörigheter som begärs av alla appar, även till synes legitima sådana. Att regelbundet uppdatera enheter, använda pålitliga säkerhetslösningar och vara vaksam mot misstänkt appbeteende kan hjälpa till att minska riskerna förknippade med sådana sofistikerade skadliga kampanjer.