GravityRAT มัลแวร์บนมือถือ

ตั้งแต่เดือนสิงหาคม 2022 มีการตรวจพบแคมเปญมัลแวร์ Android ใหม่ แพร่กระจาย GravityRAT เวอร์ชันล่าสุดและโจมตีอุปกรณ์มือถือ มัลแวร์ใช้โปรแกรมแชทโทรจันชื่อ 'BingeChat' เป็นวิธีการติดเชื้อ โดยมีเป้าหมายเพื่อขโมยข้อมูลจากอุปกรณ์ของเหยื่อ

GravityRAT เวอร์ชันล่าสุดมาพร้อมกับการปรับปรุงที่โดดเด่น รวมถึงความสามารถในการขโมยไฟล์สำรอง WhatsApp ไฟล์สำรองข้อมูลเหล่านี้ออกแบบมาเพื่อช่วยเหลือผู้ใช้ในการถ่ายโอนประวัติข้อความ ไฟล์มีเดีย และข้อมูลไปยังอุปกรณ์ใหม่ โดยอาจมีข้อมูลที่ละเอียดอ่อน เช่น ข้อความ วิดีโอ ภาพถ่าย เอกสาร และอื่นๆ ทั้งหมดอยู่ในรูปแบบที่ไม่ได้เข้ารหัส

ในขณะที่ GravityRAT เปิดใช้งานมาอย่างน้อยตั้งแต่ปี 2015 แต่เริ่มกำหนดเป้าหมายไปยังอุปกรณ์ Android ในปี 2020 เท่านั้น ผู้ดำเนินการที่อยู่เบื้องหลังมัลแวร์นี้หรือที่เรียกว่า 'SpaceCobra' ใช้สปายแวร์เฉพาะสำหรับการดำเนินการที่กำหนดเป้าหมายสูง

อาชญากรไซเบอร์ปลอมแปลง GravityRAT เป็นแอปแชทที่มีประโยชน์

สปายแวร์ปลอมตัวเป็นแอปแชท 'BingeChat' อ้างว่ามีการเข้ารหัสแบบ end-to-end และมีอินเทอร์เฟซที่ใช้งานง่ายพร้อมกับคุณสมบัติขั้นสูง แอปที่เป็นอันตรายส่วนใหญ่เผยแพร่ผ่านเว็บไซต์ 'bingechat.net' และอาจเป็นไปได้ว่าโดเมนหรือช่องทางอื่นๆ อย่างไรก็ตาม การเข้าถึงการดาวน์โหลดนั้นจำกัดเฉพาะบุคคลที่ได้รับเชิญซึ่งต้องให้ข้อมูลประจำตัวที่ถูกต้องหรือลงทะเบียนบัญชีใหม่

ขณะนี้ การลงทะเบียนสำหรับแอปปิดอยู่ โดยจำกัดการเผยแพร่ไปยังเป้าหมายเฉพาะ วิธีการนี้ไม่เพียงแต่ช่วยให้ผู้กระทำผิดส่งมัลแวร์อย่างเฉพาะเจาะจงเท่านั้น แต่ยังสร้างความท้าทายให้กับนักวิจัยที่ต้องการขอรับสำเนาสำหรับการวิเคราะห์อีกด้วย

ในรูปแบบที่เกิดซ้ำ ผู้ดำเนินการของ GravityRAT ใช้วิธีส่งเสริม Android APK ที่เป็นอันตรายโดยใช้แอปแชทชื่อ 'SoSafe' ในปี 2021 และก่อนหน้านั้น แอปอื่นชื่อ 'Travel Mate Pro' แอปเหล่านี้เป็นเวอร์ชันโทรจันของ OMEMO IM ซึ่งเป็นแอป Instant Messenger แบบโอเพ่นซอร์สที่ถูกต้องสำหรับ Android

โดยเฉพาะอย่างยิ่ง SpaceCobra ก่อนหน้านี้ใช้ OMEMO IM เป็นรากฐานสำหรับแอปหลอกลวงอีกแอปหนึ่งที่เรียกว่า 'Chatico' ในช่วงฤดูร้อนปี 2022 Chatico ได้รับการเผยแพร่ไปยังเป้าหมายผ่านเว็บไซต์ 'chatico.co.uk' ซึ่งปัจจุบันเลิกใช้แล้ว

ความสามารถที่เป็นอันตรายที่พบใน GravityRAT Mobile Threat

เมื่อทำการติดตั้งบนอุปกรณ์ของเป้าหมาย BingeChat จะขอสิทธิ์ที่มีความเสี่ยงโดยธรรมชาติ การอนุญาตเหล่านี้รวมถึงการเข้าถึงผู้ติดต่อ ตำแหน่ง โทรศัพท์ SMS ที่เก็บข้อมูล บันทึกการโทร กล้อง และไมโครโฟน เนื่องจากการอนุญาตเหล่านี้มักจำเป็นสำหรับแอปการส่งข้อความโต้ตอบแบบทันที จึงไม่น่าจะทำให้เกิดความสงสัยหรือดูผิดปกติต่อเหยื่อ

ก่อนที่ผู้ใช้จะลงทะเบียนใน BingeChat แอปจะแอบส่งข้อมูลสำคัญไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ของผู้คุกคาม ซึ่งรวมถึงบันทึกการโทร รายชื่อผู้ติดต่อ ข้อความ SMS ตำแหน่งอุปกรณ์ และข้อมูลพื้นฐานของอุปกรณ์ นอกจากนี้ มัลแวร์ยังขโมยสื่อและไฟล์เอกสารประเภทต่างๆ เช่น jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 และ crypt32 โดยเฉพาะอย่างยิ่ง นามสกุลไฟล์ crypt สอดคล้องกับการสำรองข้อมูล WhatsApp Messenger

นอกจากนี้ หนึ่งในคุณสมบัติใหม่ที่โดดเด่นของ GravityRAT คือความสามารถในการรับคำสั่งที่แตกต่างกันสามคำสั่งจากเซิร์ฟเวอร์ C2 คำสั่งเหล่านี้รวมถึง 'ลบไฟล์ทั้งหมด' (ของนามสกุลที่ระบุ), 'ลบผู้ติดต่อทั้งหมด' และ 'ลบบันทึกการโทรทั้งหมด' ความสามารถนี้ทำให้ผู้ก่อภัยคุกคามสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกได้อย่างมีนัยสำคัญ และช่วยให้พวกเขาดำเนินการที่อาจสร้างความเสียหายได้

ผู้ใช้ควรใช้ความระมัดระวังสูงสุดเมื่อให้สิทธิ์แก่แอป และตรวจทานการอนุญาตที่ร้องขอโดยแอปพลิเคชันใด ๆ อย่างรอบคอบ แม้จะดูเหมือนถูกต้องตามกฎหมายก็ตาม การอัปเดตอุปกรณ์อย่างสม่ำเสมอ การใช้โซลูชันด้านความปลอดภัยที่เชื่อถือได้ และการเฝ้าระวังพฤติกรรมของแอปที่น่าสงสัยสามารถช่วยลดความเสี่ยงที่เกี่ยวข้องกับแคมเปญมัลแวร์ที่ซับซ้อนดังกล่าวได้