GravityRAT Mobile-Bedrohung versteckt sich in Chat-Apps

Forscher haben eine kürzlich aktualisierte Version der Android-Spyware GravityRAT entdeckt, die über Messaging-Anwendungen namens BingeChat und Chatico verbreitet wird. GravityRAT ist ein Fernzugriffstool, das seit mindestens 2015 im Einsatz ist und bereits bei gezielten Angriffen gegen Indien eingesetzt wurde. Die Verfügbarkeit von Windows-, Android- und macOS-Versionen dieser Spyware wurde von verschiedenen Quellen wie Cisco Talos, Kaspersky und Cyble dokumentiert. Die für GravityRAT verantwortliche Gruppe, intern SpaceCobra genannt, bleibt unbekannt.

Die BingeChat-Kampagne, die voraussichtlich im August 2022 startete, ist noch aktiv, während die Chatico-Kampagne nicht mehr einsatzbereit ist. BingeChat wird über eine Website verbreitet, die kostenlose Messaging-Dienste bewirbt. Insbesondere die neueste Kampagne mit GravityRAT ermöglicht es der Spyware, WhatsApp-Backups zu extrahieren und Befehle zum Löschen von Dateien zu empfangen. Darüber hinaus bieten die bösartigen Apps legitime Chat-Funktionen, die auf der Open-Source-App OMEMO Instant Messenger basieren.

Das MalwareHunterTeam machte Forscher auf diese Kampagne aufmerksam, indem es den Hash einer GravityRAT-Probe über einen Tweet teilte. Die bösartige App mit der Marke BingeChat, die angeblich Messaging-Dienste anbietet, wurde anhand des APK-Dateinamens identifiziert. Die Website bingechat[.]net, von der dieses Beispiel heruntergeladen werden konnte, wurde entdeckt. Für den Zugriff auf die App war jedoch eine Anmeldung erforderlich, und die Registrierung wurde geschlossen. Es ist wahrscheinlich, dass Registrierungen nur dann geöffnet werden, wenn die Betreiber den Besuch eines bestimmten Opfers erwarten, möglicherweise basierend auf seiner IP-Adresse, seinem Standort, einer benutzerdefinierten URL oder innerhalb eines bestimmten Zeitrahmens. Daher glauben Forscher, dass potenzielle Opfer stark ins Visier genommen werden.

Vertriebsmittel

Obwohl die Forscher die BingeChat-App nicht direkt von der Website herunterladen konnten, fanden sie auf VirusTotal eine URL, die die schädliche BingeChat-Android-App enthielt und auf eine BingeChat.zip-Datei verwies. Diese App hatte denselben Hash wie die im oben genannten Tweet erwähnte, was darauf hinweist, dass diese URL als Verteilungspunkt für dieses spezielle GravityRAT-Beispiel dient.

Darüber hinaus verweist der Code der BingeChat-App auf denselben Domänennamen, bingechat[.]net, was dessen Verwendung für Verbreitungszwecke nahelegt. Es ist erwähnenswert, dass die schädliche App nie im Google Play Store verfügbar war. Stattdessen gibt es sich als modifizierte Version der legitimen Open-Source-Android-App OMEMO Instant Messenger (IM) aus, trägt aber die Bezeichnung BingeChat. OMEMO IM ist eine rekonstruierte Version des Conversations Android Jabber-Clients.

Der HTML-Code der bösartigen Website wurde am 5. Juli 2022 mit dem automatisierten Tool HTTrack von der legitimen Website Preview.colorlib.com/theme/BingeChat/ kopiert. Colorlib.com ist eine echte Website, die herunterladbare WordPress-Themes anbietet, aber das BingeChat-Theme scheint dort derzeit nicht verfügbar zu sein. Die Bingechat[.]net-Domain wurde am 18. August 2022 registriert.

Der Bedrohungsakteur hinter GravityRAT ist noch unklar

Obwohl Facebook-Forscher GravityRAT einer in Pakistan ansässigen Gruppe zuordnen, ähnlich wie bei früheren Spekulationen von Cisco Talos, bleibt die Gruppe hinter der Malware unbekannt. Intern bezeichnen Forscher diese Gruppe als SpaceCobra und führen ihr sowohl die BingeChat- als auch die Chatico-Kampagnen zu.

Die charakteristische bösartige Funktionalität von GravityRAT ist mit einem bestimmten Codesegment verbunden, das bereits im Jahr 2020 mit einer Gruppe verknüpft war, die Windows-Varianten von GravityRAT einsetzte.

Im Jahr 2021 veröffentlichte Cyble eine Analyse einer weiteren GravityRAT-Kampagne, die ähnliche Muster wie BingeChat aufwies. Dazu gehörte eine vergleichbare Verbreitungsmethode, bei der sich die trojanisierte App als legitime Chat-Anwendung ausgab (in diesem Fall SoSafe Chat), die Verwendung von Open-Source-OMEMO-IM-Code und identische bösartige Funktionen. Abbildung 6 bietet einen Vergleich zwischen den bösartigen Klassen in der von Cyble analysierten GravityRAT-Probe und der neuen in BingeChat gefundenen Probe. Basierend auf dieser Analyse kann mit Sicherheit festgestellt werden, dass der Schadcode in BingeChat zur GravityRAT-Malware-Familie gehört.