GravityRAT Mobile Malware
Mula noong Agosto 2022, may natukoy na bagong Android malware campaign, na ikinakalat ang pinakabagong bersyon ng GravityRAT at nakompromiso ang mga mobile device. Gumagamit ang malware ng isang trojanized chat application na pinangalanang 'BingeChat' bilang paraan ng impeksyon nito, na naglalayong magnakaw ng data mula sa mga device ng mga biktima.
Ang pinakabagong bersyon ng GravityRAT ay may kasamang mga kapansin-pansing pagpapahusay, kabilang ang kakayahang kunin ang mga backup na file ng WhatsApp. Ang mga backup na file na ito, na idinisenyo upang tulungan ang mga user sa paglilipat ng kanilang history ng mensahe, mga media file, at data sa mga bagong device, ay maaaring maglaman ng sensitibong impormasyon gaya ng text, mga video, mga larawan, mga dokumento, at higit pa, lahat sa isang hindi naka-encrypt na format.
Bagama't naging aktibo ang GravityRAT mula noong hindi bababa sa 2015, nagsimula lang itong mag-target ng mga Android device noong 2020. Eksklusibong ginagamit ng mga operator sa likod ng malware na ito, na kilala bilang 'SpaceCobra,' ang spyware para sa kanilang mga napaka-target na operasyon.
Ipinakilala ng mga Cybercriminal ang GravityRAT bilang Mga Kapaki-pakinabang na App ng Chat
Ang spyware, na itinago bilang chat app na 'BingeChat,' ay nag-aangkin na nag-aalok ng end-to-end na pag-encrypt at ipinagmamalaki ang user-friendly na interface kasama ng mga advanced na feature. Ang nakakahamak na app ay pangunahing ipinamamahagi sa pamamagitan ng website na 'bingechat.net' at posibleng iba pang mga domain o channel. Gayunpaman, ang pag-access sa pag-download ay pinaghihigpitan sa mga inimbitahang indibidwal na dapat magbigay ng wastong mga kredensyal o magrehistro ng bagong account.
Sa kasalukuyan, ang mga pagpaparehistro para sa app ay sarado, na nililimitahan ang pamamahagi nito sa mga partikular na target. Ang pamamaraang ito ay hindi lamang nagbibigay-daan sa mga may kasalanan na maihatid ang malware nang piling ngunit nagdudulot din ng hamon para sa mga mananaliksik na naghahanap ng isang kopya para sa pagsusuri.
Sa paulit-ulit na pattern, ginamit ng mga operator ng GravityRAT ang pag-promote ng mga nakakahamak na Android APK gamit ang isang chat app na pinangalanang 'SoSafe' noong 2021 at bago iyon, isa pang app na tinatawag na 'Travel Mate Pro.' Ang mga app na ito ay mga trojanized na bersyon ng OMEMO IM, isang lehitimong open-source na instant messenger app para sa Android.
Kapansin-pansin, dati nang ginamit ng SpaceCobra ang OMEMO IM bilang pundasyon para sa isa pang mapanlinlang na app na tinatawag na 'Chatico.' Noong tag-araw ng 2022, ipinamahagi ang Chatico sa mga target sa pamamagitan ng wala nang website na 'chatico.co.uk.'
Mga Nakakahamak na Kakayahang Natagpuan sa GravityRAT Mobile Threat
Sa pag-install sa device ng target, humihiling ang BingeChat ng mga pahintulot na nagdadala ng mga likas na panganib. Kasama sa mga pahintulot na ito ang access sa mga contact, lokasyon, telepono, SMS, storage, mga log ng tawag, camera, at mikropono. Dahil ang mga pahintulot na ito ay karaniwang kinakailangan ng mga instant messaging app, malamang na hindi magtaas ng hinala o magmukhang abnormal ang mga ito sa biktima.
Bago magrehistro ang isang user sa BingeChat, palihim na nagpapadala ang app ng mahalagang impormasyon sa Command-and-Control (C2) server ng threat actor. Kabilang dito ang mga log ng tawag, listahan ng contact, mga mensaheng SMS, lokasyon ng device, at pangunahing impormasyon ng device. Bilang karagdagan, ang malware ay nagnanakaw ng iba't ibang media at mga file ng dokumento ng mga partikular na uri ng file, tulad ng jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18, at crypt32. Kapansin-pansin, ang mga extension ng crypt file ay tumutugma sa mga backup ng WhatsApp Messenger.
Higit pa rito, isa sa mga kapansin-pansing bagong feature ng GravityRAT ay ang kakayahang makatanggap ng tatlong natatanging command mula sa C2 server. Kasama sa mga utos na ito ang 'tanggalin ang lahat ng mga file' (ng isang tinukoy na extension), 'tanggalin ang lahat ng mga contact,' at 'tanggalin ang lahat ng mga log ng tawag.' Ang kakayahang ito ay nagbibigay sa threat actor ng makabuluhang kontrol sa nakompromisong device at nagbibigay-daan sa kanila na magsagawa ng mga potensyal na nakakapinsalang aksyon.
Ang mga user ay dapat mag-ingat nang husto kapag nagbibigay ng mga pahintulot sa mga app at maingat na suriin ang mga pahintulot na hinihiling ng anumang application, kahit na tila mga lehitimong aplikasyon. Ang regular na pag-update ng mga device, paggamit ng mga mapagkakatiwalaang solusyon sa seguridad, at pagiging mapagbantay laban sa kahina-hinalang gawi ng app ay maaaring makatulong na mabawasan ang mga panganib na nauugnay sa mga ganitong sopistikadong malware campaign.
