Το GravityRAT Mobile Threat κρύβεται στις εφαρμογές συνομιλίας

Οι ερευνητές ανακάλυψαν μια πρόσφατα ενημερωμένη έκδοση του Android GravityRAT spyware που κυκλοφορεί μέσω εφαρμογών ανταλλαγής μηνυμάτων που ονομάζονται BingeChat και Chatico. Το GravityRAT είναι ένα εργαλείο απομακρυσμένης πρόσβασης που χρησιμοποιείται τουλάχιστον από το 2015 και έχει χρησιμοποιηθεί στο παρελθόν σε στοχευμένες επιθέσεις κατά της Ινδίας. Η διαθεσιμότητα των εκδόσεων Windows, Android και macOS αυτού του spyware έχει τεκμηριωθεί από διάφορες πηγές όπως η Cisco Talos, η Kaspersky και η Cyble. Η ομάδα που είναι υπεύθυνη για το GravityRAT, γνωστή εσωτερικά ως SpaceCobra, παραμένει άγνωστη.

Η καμπάνια BingeChat, η οποία πιθανότατα ξεκίνησε τον Αύγουστο του 2022, εξακολουθεί να είναι ενεργή, ενώ η καμπάνια Chatico δεν είναι πλέον λειτουργική. Το BingeChat διανέμεται μέσω ενός ιστότοπου που διαφημίζει δωρεάν υπηρεσίες ανταλλαγής μηνυμάτων. Συγκεκριμένα, η πιο πρόσφατη καμπάνια που περιλαμβάνει το GravityRAT επιτρέπει στο λογισμικό κατασκοπείας να εξάγει αντίγραφα ασφαλείας του WhatsApp και να λαμβάνει εντολές για διαγραφή αρχείων. Επιπλέον, οι κακόβουλες εφαρμογές προσφέρουν νόμιμη λειτουργία συνομιλίας που βασίζεται στην εφαρμογή OMEMO Instant Messenger ανοιχτού κώδικα.

Το MalwareHunterTeam ειδοποίησε τους ερευνητές για αυτήν την καμπάνια μοιράζοντας τον κατακερματισμό ενός δείγματος GravityRAT μέσω ενός tweet. Η κακόβουλη εφαρμογή, με την επωνυμία BingeChat και ισχυρίζεται ότι παρέχει υπηρεσίες ανταλλαγής μηνυμάτων, αναγνωρίστηκε με βάση το όνομα του αρχείου APK. Ανακαλύφθηκε ο ιστότοπος bingechat[.]net, όπου θα μπορούσε να είχε γίνει λήψη αυτού του δείγματος. Ωστόσο, η πρόσβαση στην εφαρμογή απαιτούσε σύνδεση και η εγγραφή έκλεισε. Είναι πιθανό οι εγγραφές να ανοίγουν μόνο όταν οι χειριστές αναμένουν την επίσκεψη ενός συγκεκριμένου θύματος, πιθανώς με βάση τη διεύθυνση IP, τη γεωγραφική τοποθεσία, την προσαρμοσμένη διεύθυνση URL ή εντός συγκεκριμένου χρονικού πλαισίου. Ως εκ τούτου, οι ερευνητές πιστεύουν ότι τα πιθανά θύματα είναι ιδιαίτερα στοχευμένα.

Μέσα Διανομής

Αν και οι ερευνητές δεν μπόρεσαν να κατεβάσουν απευθείας την εφαρμογή BingeChat από τον ιστότοπο, βρήκαν μια διεύθυνση URL στο VirusTotal που περιείχε την κακόβουλη εφαρμογή BingeChat Android και κατέδειξε ένα αρχείο BingeChat.zip. Αυτή η εφαρμογή είχε τον ίδιο κατακερματισμό με αυτόν που αναφέρεται στο προαναφερθέν tweet, υποδεικνύοντας ότι αυτή η διεύθυνση URL χρησιμεύει ως σημείο διανομής για αυτό το συγκεκριμένο δείγμα GravityRAT.

Επιπλέον, ο κώδικας της εφαρμογής BingeChat αναφέρεται στο ίδιο όνομα τομέα, bingechat[.]net, το οποίο υποδηλώνει τη χρήση του για σκοπούς διανομής. Αξίζει να σημειωθεί ότι η κακόβουλη εφαρμογή δεν ήταν ποτέ διαθέσιμη στο Google Play store. Αντίθετα, μεταμφιέζεται ως τροποποιημένη έκδοση της νόμιμης ανοιχτού κώδικα εφαρμογής Android OMEMO Instant Messenger (IM), αλλά επισημαίνεται ως BingeChat. Το OMEMO IM είναι μια ανακατασκευασμένη έκδοση του προγράμματος-πελάτη Conversations Android Jabber.

Ο κώδικας HTML του κακόβουλου ιστότοπου αντιγράφηκε από τον νόμιμο ιστότοπο preview.colorlib.com/theme/BingeChat/ στις 5 Ιουλίου 2022, χρησιμοποιώντας το αυτοματοποιημένο εργαλείο HTTrack. Το Colorlib.com είναι ένας γνήσιος ιστότοπος που παρέχει θέματα WordPress με δυνατότητα λήψης, αλλά το θέμα BingeChat φαίνεται να μην είναι διαθέσιμο εκεί τώρα. Ο τομέας bingechat[.]net καταχωρήθηκε στις 18 Αυγούστου 2022.

Απειλή ηθοποιός πίσω από το GravityRAT Ακόμα ασαφές

Αν και οι ερευνητές του Facebook αποδίδουν το GravityRAT σε μια ομάδα με έδρα το Πακιστάν, παρόμοια με την προηγούμενη εικασία του Cisco Talos, η ομάδα πίσω από το κακόβουλο λογισμικό παραμένει άγνωστη. Εσωτερικά, οι ερευνητές αναφέρονται σε αυτήν την ομάδα ως SpaceCobra και τους αποδίδουν και τις δύο καμπάνιες BingeChat και Chatico.

Η χαρακτηριστική κακόβουλη λειτουργία του GravityRAT σχετίζεται με ένα συγκεκριμένο τμήμα κώδικα που προηγουμένως είχε συνδεθεί με μια ομάδα που χρησιμοποιούσε παραλλαγές του GravityRAT των Windows το 2020.

Το 2021, η Cyble δημοσίευσε μια ανάλυση μιας άλλης καμπάνιας GravityRAT που παρουσίαζε παρόμοια μοτίβα με το BingeChat. Αυτό περιλάμβανε μια συγκρίσιμη μέθοδο διανομής όπου η trojanized εφαρμογή παρουσιάστηκε ως νόμιμη εφαρμογή συνομιλίας (SoSafe Chat σε εκείνη την περίπτωση), τη χρήση κώδικα ανοιχτού κώδικα OMEMO IM και πανομοιότυπη κακόβουλη λειτουργικότητα. Το Σχήμα 6 παρέχει μια σύγκριση μεταξύ των κακόβουλων κλάσεων στο δείγμα GravityRAT που αναλύθηκε από τη Cyble και του νέου δείγματος που βρέθηκε στο BingeChat. Με βάση αυτήν την ανάλυση, μπορεί να δηλωθεί με βεβαιότητα ότι ο κακόβουλος κώδικας στο BingeChat ανήκει στην οικογένεια κακόβουλου λογισμικού GravityRAT.