Phần mềm độc hại di động GravityRAT
Kể từ tháng 8 năm 2022, một chiến dịch phần mềm độc hại Android mới đã được phát hiện, phát tán phiên bản GravityRAT mới nhất và xâm phạm các thiết bị di động. Phần mềm độc hại sử dụng ứng dụng trò chuyện bị trojan hóa có tên 'BingeChat' làm phương tiện lây nhiễm, nhằm mục đích đánh cắp dữ liệu từ thiết bị của nạn nhân.
Phiên bản mới nhất của GravityRAT đi kèm với những cải tiến đáng chú ý, bao gồm khả năng ăn cắp các tệp sao lưu WhatsApp. Các tệp sao lưu này, được thiết kế để hỗ trợ người dùng chuyển lịch sử tin nhắn, tệp phương tiện và dữ liệu sang thiết bị mới, có thể chứa thông tin nhạy cảm như văn bản, video, ảnh, tài liệu, v.v., tất cả đều ở định dạng không được mã hóa.
Mặc dù GravityRAT đã hoạt động ít nhất từ năm 2015, nhưng nó chỉ bắt đầu nhắm mục tiêu các thiết bị Android vào năm 2020. Những kẻ điều hành phần mềm độc hại này, được gọi là 'SpaceCobra', độc quyền sử dụng phần mềm gián điệp cho các hoạt động nhắm mục tiêu cao của họ.
Tội phạm mạng ngụy trang GravityRAT thành các ứng dụng trò chuyện hữu ích
Phần mềm gián điệp, được ngụy trang dưới dạng ứng dụng trò chuyện 'BingeChat', tuyên bố sẽ cung cấp mã hóa đầu cuối và tự hào có giao diện thân thiện với người dùng cùng với các tính năng nâng cao. Ứng dụng độc hại chủ yếu được phân phối thông qua trang web 'bingechat.net' và có thể là các miền hoặc kênh khác. Tuy nhiên, quyền truy cập tải xuống bị hạn chế đối với những cá nhân được mời, những người phải cung cấp thông tin đăng nhập hợp lệ hoặc đăng ký tài khoản mới.
Hiện tại, đăng ký cho ứng dụng đã bị đóng, hạn chế phân phối ứng dụng cho các mục tiêu cụ thể. Phương pháp này không chỉ cho phép thủ phạm phân phối phần mềm độc hại một cách có chọn lọc mà còn đặt ra thách thức cho các nhà nghiên cứu đang tìm cách lấy một bản sao để phân tích.
Theo mô hình định kỳ, các nhà điều hành của GravityRAT đã sử dụng quảng cáo APK Android độc hại bằng ứng dụng trò chuyện có tên 'SoSafe' vào năm 2021 và trước đó, một ứng dụng khác có tên 'Travel Mate Pro'. Các ứng dụng này là phiên bản trojan của OMEMO IM, một ứng dụng nhắn tin tức thời mã nguồn mở hợp pháp dành cho Android.
Đáng chú ý, SpaceCobra trước đây đã sử dụng OMEMO IM làm nền tảng cho một ứng dụng lừa đảo khác có tên 'Chatico'. Vào mùa hè năm 2022, Chatico đã được phân phối cho các mục tiêu thông qua trang web hiện không còn tồn tại 'chatico.co.uk.'
Khả năng độc hại được tìm thấy trong GravityRAT Mobile Threat
Khi cài đặt trên thiết bị của mục tiêu, BingeChat sẽ yêu cầu các quyền có rủi ro cố hữu. Các quyền này bao gồm quyền truy cập vào danh bạ, vị trí, điện thoại, SMS, bộ nhớ, nhật ký cuộc gọi, máy ảnh và micrô. Vì các quyền này thường được yêu cầu bởi các ứng dụng nhắn tin tức thời nên chúng không có khả năng gây nghi ngờ hoặc có vẻ bất thường đối với nạn nhân.
Trước khi người dùng đăng ký BingeChat, ứng dụng sẽ lén lút gửi thông tin quan trọng đến máy chủ Command-and-Control (C2) của kẻ đe dọa. Điều này bao gồm nhật ký cuộc gọi, danh sách liên lạc, tin nhắn SMS, vị trí thiết bị và thông tin cơ bản về thiết bị. Ngoài ra, phần mềm độc hại đánh cắp các tệp tài liệu và phương tiện khác nhau thuộc các loại tệp cụ thể, chẳng hạn như jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 và crypt32. Đáng chú ý, các phần mở rộng tệp mật mã tương ứng với các bản sao lưu WhatsApp Messenger.
Hơn nữa, một trong những tính năng mới đáng chú ý của GravityRAT là khả năng nhận ba lệnh riêng biệt từ máy chủ C2. Các lệnh này bao gồm 'xóa tất cả các tệp' (của một tiện ích mở rộng được chỉ định), 'xóa tất cả các liên hệ' và 'xóa tất cả nhật ký cuộc gọi.' Khả năng này cấp cho kẻ đe dọa quyền kiểm soát đáng kể đối với thiết bị bị xâm nhập và cho phép chúng thực hiện các hành động có khả năng gây hại.
Người dùng nên hết sức thận trọng khi cấp quyền cho ứng dụng và xem xét cẩn thận các quyền mà bất kỳ ứng dụng nào yêu cầu, ngay cả những quyền có vẻ hợp pháp. Thường xuyên cập nhật thiết bị, sử dụng các giải pháp bảo mật đáng tin cậy và thận trọng trước hành vi đáng ngờ của ứng dụng có thể giúp giảm thiểu rủi ro liên quan đến các chiến dịch phần mềm độc hại tinh vi như vậy.
