GravityRAT 移動惡意軟件

自 2022 年 8 月以來，已檢測到新的 Android 惡意軟件活動，傳播最新版本的 GravityRAT 並危害移動設備。該惡意軟件利用名為“BingeChat”的木馬化聊天應用程序作為感染手段，旨在從受害者的設備中竊取數據。

最新版本的 GravityRAT 具有顯著的增強功能，包括竊取 WhatsApp 備份文件的能力。這些備份文件旨在幫助用戶將他們的消息歷史記錄、媒體文件和數據傳輸到新設備，可能包含敏感信息，例如文本、視頻、照片、文檔等，所有這些信息均採用未加密格式。

雖然 GravityRAT 至少從 2015 年開始活躍，但它直到 2020 年才開始針對 Android 設備。這種被稱為“SpaceCobra”的惡意軟件背後的運營商專門使用間諜軟件來進行高度針對性的操作。

網絡犯罪分子將 GravityRAT 偽裝成有用的聊天應用程序

該間諜軟件偽裝成聊天應用程序“BingeChat”，聲稱提供端到端加密，並擁有用戶友好的界面和高級功能。惡意應用程序主要通過網站“bingechat.net”和可能的其他域或渠道分發。但是，下載訪問權限僅限於必須提供有效憑據或註冊新帳戶的受邀個人。

目前，該應用程序的註冊已關閉，限制了它對特定目標的分發。這種方法不僅允許犯罪者有選擇地傳送惡意軟件，而且對尋求獲取副本進行分析的研究人員提出了挑戰。

在一種反復出現的模式中，GravityRAT 的運營商訴諸於在 2021 年使用名為“SoSafe”的聊天應用程序以及在此之前使用另一個名為“Travel Mate Pro”的應用程序來推廣惡意 Android APK。這些應用程序是 OMEMO IM 的木馬化版本，這是一款適用於 Android 的合法開源即時通訊應用程序。

值得注意的是，SpaceCobra 之前利用 OMEMO IM 作為另一個名為“Chatico”的欺詐應用程序的基礎。 2022 年夏天，Chatico 通過現已關閉的網站“chatico.co.uk”分發給目標。

GravityRAT 移動威脅中發現的惡意功能

在目標設備上安裝後，BingeChat 會請求具有固有風險的權限。這些權限包括訪問聯繫人、位置、電話、短信、存儲、通話記錄、攝像頭和麥克風。由於即時消息應用程序通常需要這些權限，因此它們不太可能引起受害者的懷疑或顯得異常。

在用戶註冊 BingeChat 之前，該應用程序會偷偷將重要信息發送到威脅參與者的命令與控制 (C2) 服務器。這包括通話記錄、聯繫人列表、短信、設備位置和基本設備信息。此外，惡意軟件竊取特定文件類型的各種媒體和文檔文件，例如 jpg、jpeg、log、png、PNG、JPG、JPEG、txt、pdf、xml、doc、xls、xlsx、ppt、pptx、docx、opus 、crypt14、crypt12、crypt13、crypt18 和 crypt32。值得注意的是，crypt 文件擴展名對應於 WhatsApp Messenger 備份。

此外，GravityRAT 的一項顯著新功能是它能夠從 C2 服務器接收三個不同的命令。這些命令包括“刪除所有文件”（指定擴展名）、“刪除所有聯繫人”和“刪除所有通話記錄”。此功能授予威脅參與者對受感染設備的重要控制權，並允許他們執行具有潛在破壞性的操作。

用戶在授予應用程序權限時應格外小心，並仔細審查任何應用程序請求的權限，即使是看似合法的應用程序。定期更新設備、採用可靠的安全解決方案並警惕可疑的應用程序行為可以幫助降低與此類複雜的惡意軟件活動相關的風險。