GravityRAT mobiltrussel skjuler sig i chat-apps

Forskere har opdaget en nyligt opdateret version af Android GravityRAT-spyware, der cirkuleres gennem beskedprogrammer kaldet BingeChat og Chatico. GravityRAT er et fjernadgangsværktøj, der har været i brug siden mindst 2015 og tidligere har været brugt i målrettede angreb mod Indien. Tilgængeligheden af Windows-, Android- og macOS-versioner af denne spyware er blevet dokumenteret af forskellige kilder såsom Cisco Talos, Kaspersky og Cyble. Den gruppe, der er ansvarlig for GravityRAT, internt kendt som SpaceCobra, forbliver uidentificeret.

BingeChat-kampagnen, som sandsynligvis startede i august 2022, er stadig aktiv, mens Chatico-kampagnen ikke længere er operationel. BingeChat distribueres via et websted, der annoncerer for gratis beskedtjenester. Især gør den seneste kampagne, der involverer GravityRAT, spywaren i stand til at udtrække WhatsApp-sikkerhedskopier og modtage kommandoer til filsletning. Desuden tilbyder de ondsindede apps legitim chatfunktionalitet baseret på open source OMEMO Instant Messenger-appen.

MalwareHunterTeamet advarede forskere om denne kampagne ved at dele hashen af en GravityRAT-prøve gennem et tweet. Den ondsindede app, mærket som BingeChat og hævder at levere meddelelsestjenester, blev identificeret baseret på APK-filnavnet. Hjemmesiden binechat[.]net, hvor denne prøve kunne have været downloadet, blev opdaget. Adgang til appen krævede dog at logge ind, og registreringen blev lukket. Det er sandsynligt, at registreringer kun åbnes, når operatørerne forventer et specifikt offers besøg, potentielt baseret på deres IP-adresse, geoplacering, brugerdefinerede URL eller inden for en specifik tidsramme. Derfor mener forskere, at potentielle ofre er meget målrettede.

Fordelingsmidler

Selvom forskere ikke direkte kunne downloade BingeChat-appen fra hjemmesiden, fandt de en URL på VirusTotal, der indeholdt den ondsindede BingeChat Android-app og pegede på en BingeChat.zip-fil. Denne app havde den samme hash som den, der er nævnt i det førnævnte tweet, hvilket indikerer, at denne URL fungerer som et distributionspunkt for denne specifikke GravityRAT-prøve.

Desuden refererer BingeChat-appens kode til det samme domænenavn, bingechat[.]net, hvilket foreslår dets brug til distributionsformål. Det er værd at bemærke, at den ondsindede app aldrig har været tilgængelig i Google Play Butik. I stedet forklæder den sig som en modificeret version af den legitime open source OMEMO Instant Messenger (IM) Android-app, men er mærket som BingeChat. OMEMO IM er en rekonstrueret version af Conversations Android Jabber-klienten.

HTML-koden for det ondsindede websted blev kopieret fra det legitime websted preview.colorlib.com/theme/BingeChat/ den 5. juli 2022 ved hjælp af det automatiserede værktøj HTTrack. Colorlib.com er et ægte websted, der tilbyder WordPress-temaer, der kan downloades, men BingeChat-temaet ser ud til at være utilgængeligt der nu. Bingechat[.]net-domænet blev registreret den 18. august 2022.

Trusselskuespiller bag tyngdekraften RAT Stadig uklar

Selvom Facebook-forskere tilskriver GravityRAT til en gruppe baseret i Pakistan, svarende til tidligere spekulationer fra Cisco Talos, forbliver gruppen bag malwaren uidentificeret. Internt omtaler forskere denne gruppe som SpaceCobra og tilskriver dem både BingeChat- og Chatico-kampagnerne.

Den karakteristiske ondsindede funktionalitet af GravityRAT er forbundet med et specifikt kodesegment, der tidligere var knyttet til en gruppe, der anvender Windows-varianter af GravityRAT i 2020.

I 2021 udgav Cyble en analyse af en anden GravityRAT-kampagne, der udviste lignende mønstre som BingeChat. Dette omfattede en sammenlignelig distributionsmetode, hvor den trojaniserede app poserede som en legitim chatapplikation (SoSafe Chat i det tilfælde), brugen af open source OMEMO IM-kode og identisk ondsindet funktionalitet. Figur 6 giver en sammenligning mellem de ondsindede klasser i GravityRAT-prøven analyseret af Cyble og den nye prøve fundet i BingeChat. Baseret på denne analyse kan det med sikkerhed fastslås, at den ondsindede kode i BingeChat tilhører GravityRAT malware-familien.