Kompanija za sajber sigurnost ESET analizirala je ažuriranu verziju Androida GravityRAT špijunskog softvera koji krade datoteke sigurnosne kopije WhatsAppa i može primati komande za brisanje datoteka.
ESET-ovi istraživači su uočili ažuriranu verziju špijunskog softvera GravityRAT zasnovanog na Androidu koji se distribuira kao aplikacije za razmjenu poruka BingeChat i Chatico. GravityRAT, alat za daljinski pristup koji se koristi u napadima na korisnike u Indiji, ima verzije za Windows, Android i macOS. Nije poznato ko stoji iza GravityRAT-a; ESET Research prati grupu poznatu kao SpaceCobra. Kampanja BingeChat, koja je vjerovatno aktivna od avgusta 2022. godine, još uvijek traje. U novootkrivenoj kampanji, GravityRAT je u stanju da se infiltrira u sigurnosne kopije WhatsAppa i prima naredbe za brisanje datoteka. Zlonamjerne aplikacije se također legitimno nalaze u aplikaciji OMEMO Instant Messenger otvorenog koda. sohbet Takođe pruža funkcionalnost.
Kao i ranije dokumentovane kampanje SpaceCobra, kampanja Chatico ciljala je korisnika u Indiji. Aplikacija BingeChat se distribuira putem web stranice za koju je potrebna registracija. Najvjerojatnije se aplikacija otvara kada napadači posjete određene žrtve koje očekuju, moguće unutar određene IP adrese, geografske lokacije, prilagođenog URL-a ili određenog vremenskog okvira. Smatra se da je kampanja usmjerena na određene ciljeve.
Istraživač ESET-a Lukas Stefanko, koji istražuje zlonamjerni softver, rekao je:
“Nakon što smo dodirnuli dugme DOWNLOAD APPLICATION, pronašli smo web stranicu koja šalje zlonamjerne aplikacije; ali zahtijeva da se posjetitelji prijave. Nismo imali akreditive i nismo se mogli registrovati. Vjerujemo da se registracije operatera otvaraju samo kada određena žrtva očekuje posjete, moguće s određene IP adrese, geolokacije, prilagođenog URL-a ili unutar određenog vremenskog okvira. Iako nismo bili u mogućnosti da preuzmemo BingeChat aplikaciju putem web stranice, uspjeli smo pronaći URL za distribuciju na VirusTotalu.” Zlonamjernoj aplikaciji nije moguće pristupiti putem Google Play trgovine.
Na meti su potencijalne žrtve
ESET Research nije mogao utvrditi kako su potencijalne žrtve prevarene da uđu na zlonamjernu web stranicu, niti na koji način su otkrivene. Uzimajući u obzir da je tokom istrage preuzimanje aplikacije uvjetovano postojanjem računa, a nova registracija računa nije moguća, ESET vjeruje da su potencijalne žrtve posebno ciljane.
Grupa koja stoji iza malvera ostaje nepoznata, iako su istraživači Facebooka povezali GravityRAT sa grupom sa sjedištem u Pakistanu, kao što je ranije predvidio Cisco Talos. ESET nadgleda ovu grupu kao SpaceCobra. BingeChat i Chatico povezuju svoje kampanje sa ovom grupom.
Kao dio legitimne funkcionalnosti aplikacije, nudi se opcija kreiranja računa i prijave. Prije nego što se korisnik prijavi u aplikaciju, GravityRAT stupa u interakciju s C&C serverom kako bi počeo propuštati podatke korisnika uređaja i čekao da se naredbe izvrše. GravityRAT može infiltrirati evidenciju poziva, listu kontakata, SMS poruke, lokaciju uređaja, osnovne informacije o uređaju i datoteke sa određenim ekstenzijama za slike, fotografije i dokumente. Ova verzija GravityRAT-a ima dva ažuriranja u poređenju sa poznatim prethodnim verzijama GravityRAT-a: infiltriranje sigurnosnih kopija WhatsApp-a i dobijanje naredbi za brisanje datoteka.