GravityRAT Mobil Kötü Amaçlı Yazılım
Ağustos 2022'den bu yana, GravityRAT'ın en son sürümünü yayan ve mobil cihazların güvenliğini tehlikeye atan yeni bir Android kötü amaçlı yazılım kampanyası tespit edildi. Kötü amaçlı yazılım, kurbanların cihazlarından veri çalmayı amaçlayan 'BingeChat' adlı trojenleştirilmiş bir sohbet uygulamasını bulaşma aracı olarak kullanıyor.
GravityRAT'ın en son sürümü, WhatsApp yedek dosyalarını çalma yeteneği de dahil olmak üzere dikkate değer geliştirmelerle birlikte gelir. Kullanıcıların mesaj geçmişlerini, medya dosyalarını ve verilerini yeni cihazlara aktarmalarına yardımcı olmak için tasarlanan bu yedekleme dosyaları, tümü şifrelenmemiş bir biçimde metin, video, fotoğraf, belge ve daha fazlası gibi hassas bilgiler içerebilir.
GravityRAT en az 2015'ten beri aktif olsa da, Android cihazları yalnızca 2020'de hedeflemeye başladı. 'SpaceCobra' olarak bilinen bu kötü amaçlı yazılımın arkasındaki operatörler, casus yazılımları yalnızca yüksek hedefli operasyonları için kullanıyor.
Siber Suçlular GravityRAT'ı Yararlı Sohbet Uygulamaları Olarak Gizliyor
Sohbet uygulaması 'BingeChat' kılığına giren casus yazılım, uçtan uca şifreleme sunduğunu iddia ediyor ve gelişmiş özelliklerle birlikte kullanıcı dostu bir arayüze sahip. Kötü amaçlı uygulama öncelikle 'bingechat.net' web sitesi ve muhtemelen diğer alanlar veya kanallar aracılığıyla dağıtılır. Ancak indirmeye erişim, geçerli kimlik bilgileri sağlaması veya yeni bir hesap açması gereken davetli kişilerle sınırlıdır.
Şu anda, uygulama için kayıtlar kapalı ve dağıtımı belirli hedeflerle sınırlandırılıyor. Bu yöntem, faillerin yalnızca kötü amaçlı yazılımı seçerek dağıtmasına izin vermekle kalmaz, aynı zamanda analiz için bir kopya elde etmek isteyen araştırmacılar için bir zorluk teşkil eder.
GravityRAT'ın operatörleri, 2021'de "SoSafe" adlı bir sohbet uygulamasını ve ondan önce de "Travel Mate Pro" adlı başka bir uygulamayı kullanarak yinelenen bir modelde kötü amaçlı Android APK'larını tanıtmaya başvurdu. Bu uygulamalar, Android için meşru bir açık kaynaklı anında mesajlaşma uygulaması olan OMEMO IM'nin truva atı haline getirilmiş sürümleriydi.
Özellikle, SpaceCobra daha önce OMEMO IM'yi 'Chatico' adlı başka bir sahte uygulamanın temeli olarak kullanmıştı. 2022 yazında Chatico, artık feshedilmiş olan 'chatico.co.uk' web sitesi aracılığıyla hedeflere dağıtıldı.
GravityRAT Mobil Tehditinde Bulunan Kötü Amaçlı Yetenekler
BingeChat, hedefin cihazına yüklendikten sonra doğal riskler taşıyan izinler ister. Bu izinler, kişilere, konuma, telefona, SMS'e, depolamaya, arama günlüklerine, kameraya ve mikrofona erişimi içerir. Bu izinler genellikle anlık mesajlaşma uygulamaları için gerekli olduğundan, mağdura şüphe uyandırmaları veya anormal görünmeleri pek olası değildir.
Bir kullanıcı BingeChat'e kaydolmadan önce, uygulama gizlice önemli bilgileri tehdit aktörünün Komuta ve Kontrol (C2) sunucusuna gönderir. Buna arama günlükleri, kişi listeleri, SMS mesajları, cihaz konumu ve temel cihaz bilgileri dahildir. Ek olarak, kötü amaçlı yazılım jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus gibi belirli dosya türlerindeki çeşitli ortam ve belge dosyalarını çalar. , crypt14, crypt12, crypt13, crypt18 ve crypt32. Özellikle, şifreli dosya uzantıları, WhatsApp Messenger yedeklerine karşılık gelir.
Ayrıca, GravityRAT'ın dikkate değer yeni özelliklerinden biri, C2 sunucusundan üç farklı komut alabilmesidir. Bu komutlar arasında 'tüm dosyaları sil' (belirli bir uzantının), 'tüm kişileri sil' ve 'tüm arama günlüklerini sil' bulunur. Bu yetenek, tehdit aktörüne güvenliği ihlal edilmiş cihaz üzerinde önemli bir kontrol sağlar ve onların potansiyel olarak zarar verici eylemler gerçekleştirmesine izin verir.
Kullanıcılar, uygulamalara izin verirken son derece dikkatli olmalı ve görünüşte meşru olanlar da dahil olmak üzere herhangi bir uygulama tarafından talep edilen izinleri dikkatlice incelemelidir. Cihazları düzenli olarak güncellemek, güvenilir güvenlik çözümleri kullanmak ve şüpheli uygulama davranışlarına karşı tetikte olmak, bu tür karmaşık kötü amaçlı yazılım kampanyalarıyla ilişkili riskleri azaltmaya yardımcı olabilir.
