Шкідливе програмне забезпечення для мобільних пристроїв GravityRAT

З серпня 2022 року було виявлено нову кампанію зловмисного програмного забезпечення Android, яка поширює останню версію GravityRAT і компрометує мобільні пристрої. Зловмисне програмне забезпечення використовує троянську програму чату під назвою BingeChat як засіб зараження, щоб викрасти дані з пристроїв жертв.

Остання версія GravityRAT має помітні вдосконалення, зокрема можливість крадіжки резервних копій файлів WhatsApp. Ці файли резервних копій, призначені для допомоги користувачам у передачі історії повідомлень, мультимедійних файлів і даних на нові пристрої, можуть містити конфіденційну інформацію, таку як текст, відео, фотографії, документи тощо, у незашифрованому форматі.

Хоча GravityRAT активний принаймні з 2015 року, він почав націлюватися на пристрої Android лише в 2020 році. Оператори, що стоять за цією шкідливою програмою, відомою як «SpaceCobra», використовують шпигунське програмне забезпечення виключно для своїх цілеспрямованих операцій.

Кіберзлочинці маскують GravityRAT під корисні програми для спілкування

Шпигунське програмне забезпечення, замасковане під чат-програму «BingeChat», стверджує, що пропонує наскрізне шифрування та може похвалитися зручним інтерфейсом разом із розширеними функціями. Шкідлива програма в основному поширюється через веб-сайт bingechat.net і, можливо, інші домени чи канали. Однак доступ до завантаження надається лише запрошеним особам, які повинні надати дійсні облікові дані або зареєструвати новий обліковий запис.

Наразі реєстрацію програми закрито, що обмежує її розповсюдження лише для певних цілей. Цей метод не тільки дозволяє зловмисникам вибірково доставляти зловмисне програмне забезпечення, але й створює труднощі для дослідників, які прагнуть отримати копію для аналізу.

У 2021 році оператори GravityRAT вдалися до просування зловмисних APK для Android за допомогою програми для чату під назвою «SoSafe», а до цього — іншої програми під назвою «Travel Mate Pro». Ці програми були троянськими версіями OMEMO IM, законної програми обміну миттєвими повідомленнями з відкритим кодом для Android.

Примітно, що SpaceCobra раніше використовувала OMEMO IM як основу для ще одного шахрайського додатка під назвою «Chatico». Влітку 2022 року Chatico було розповсюджено цілям через неіснуючий веб-сайт chatico.co.uk.

У мобільній загрозі GravityRAT виявлено зловмисні можливості

Після інсталяції на цільовому пристрої BingeChat запитує дозволи, які несуть невід’ємний ризик. Ці дозволи включають доступ до контактів, місцезнаходження, телефону, SMS, сховища, журналів викликів, камери та мікрофона. Оскільки ці дозволи зазвичай потрібні програмам для обміну миттєвими повідомленнями, вони навряд чи викличуть підозру або здадуться ненормальними для жертви.

Перш ніж користувач зареєструється в BingeChat, програма таємно надсилає важливу інформацію на сервер командування та керування (C2) зловмисника. Це включає журнали викликів, списки контактів, SMS-повідомлення, місцезнаходження пристрою та основну інформацію про пристрій. Крім того, зловмисне програмне забезпечення викрадає різні мультимедійні файли та файли документів певних типів, наприклад jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 і crypt32. Примітно, що розширення файлів crypt відповідають резервним копіям WhatsApp Messenger.

Крім того, однією з помітних нових функцій GravityRAT є його здатність отримувати три різні команди від сервера C2. Ці команди включають «видалити всі файли» (з указаним розширенням), «видалити всі контакти» та «видалити всі журнали викликів». Ця можливість надає учаснику загрози значний контроль над скомпрометованим пристроєм і дозволяє йому виконувати потенційно шкідливі дії.

Користувачі повинні проявляти максимальну обережність, надаючи дозволи програмам і уважно переглядати дозволи, які запитує будь-яка програма, навіть на перший погляд законна. Регулярне оновлення пристроїв, використання надійних рішень безпеки та пильність щодо підозрілої поведінки програм можуть допомогти зменшити ризики, пов’язані з такими складними кампаніями зловмисного програмного забезпечення.