GravityRAT 移动恶意软件

自 2022 年 8 月以来，已检测到新的 Android 恶意软件活动，传播最新版本的 GravityRAT 并危害移动设备。该恶意软件利用名为“BingeChat”的木马化聊天应用程序作为感染手段，旨在从受害者的设备中窃取数据。

最新版本的 GravityRAT 具有显着的增强功能，包括窃取 WhatsApp 备份文件的能力。这些备份文件旨在帮助用户将他们的消息历史记录、媒体文件和数据传输到新设备，可能包含敏感信息，例如文本、视频、照片、文档等，所有这些信息均采用未加密格式。

虽然 GravityRAT 至少从 2015 年开始活跃，但它直到 2020 年才开始针对 Android 设备。这种被称为“SpaceCobra”的恶意软件背后的运营商专门使用间谍软件来进行高度针对性的操作。

网络犯罪分子将 GravityRAT 伪装成有用的聊天应用程序

该间谍软件伪装成聊天应用程序“BingeChat”，声称提供端到端加密，并拥有用户友好的界面和高级功能。恶意应用程序主要通过网站“bingechat.net”和可能的其他域或渠道分发。但是，下载访问权限仅限于必须提供有效凭据或注册新帐户的受邀个人。

目前，该应用程序的注册已关闭，限制了它对特定目标的分发。这种方法不仅允许犯罪者有选择地传送恶意软件，而且对寻求获取副本进行分析的研究人员提出了挑战。

在一种反复出现的模式中，GravityRAT 的运营商诉诸于在 2021 年使用名为“SoSafe”的聊天应用程序以及在此之前使用另一个名为“Travel Mate Pro”的应用程序来推广恶意 Android APK。这些应用程序是 OMEMO IM 的木马化版本，这是一款适用于 Android 的合法开源即时通讯应用程序。

值得注意的是，SpaceCobra 之前利用 OMEMO IM 作为另一个名为“Chatico”的欺诈应用程序的基础。 2022 年夏天，Chatico 通过现已关闭的网站“chatico.co.uk”分发给目标。

GravityRAT 移动威胁中发现的恶意功能

在目标设备上安装后，BingeChat 会请求具有固有风险的权限。这些权限包括访问联系人、位置、电话、短信、存储、通话记录、摄像头和麦克风。由于即时消息应用程序通常需要这些权限，因此它们不太可能引起受害者的怀疑或显得异常。

在用户注册 BingeChat 之前，该应用程序会偷偷将重要信息发送到威胁参与者的命令与控制 (C2) 服务器。这包括通话记录、联系人列表、短信、设备位置和基本设备信息。此外，恶意软件窃取特定文件类型的各种媒体和文档文件，例如 jpg、jpeg、log、png、PNG、JPG、JPEG、txt、pdf、xml、doc、xls、xlsx、ppt、pptx、docx、opus 、crypt14、crypt12、crypt13、crypt18 和 crypt32。值得注意的是，crypt 文件扩展名对应于 WhatsApp Messenger 备份。

此外，GravityRAT 的一项显着新功能是它能够从 C2 服务器接收三个不同的命令。这些命令包括“删除所有文件”（指定扩展名）、“删除所有联系人”和“删除所有通话记录”。此功能授予威胁参与者对受感染设备的重要控制权，并允许他们执行具有潜在破坏性的操作。

用户在授予应用程序权限时应格外小心，并仔细审查任何应用程序请求的权限，即使是看似合法的应用程序。定期更新设备、采用可靠的安全解决方案并警惕可疑的应用程序行为可以帮助降低与此类复杂的恶意软件活动相关的风险。