La menace mobile GravityRAT se cache dans les applications de chat

Des chercheurs ont découvert une version récemment mise à jour du logiciel espion Android GravityRAT qui circule via des applications de messagerie appelées BingeChat et Chatico. GravityRAT est un outil d'accès à distance qui est utilisé depuis au moins 2015 et qui a déjà été utilisé dans des attaques ciblées contre l'Inde. La disponibilité des versions Windows, Android et macOS de ce logiciel espion a été documentée par diverses sources telles que Cisco Talos, Kaspersky et Cyble. Le groupe responsable de GravityRAT, connu en interne sous le nom de SpaceCobra, reste non identifié.

La campagne BingeChat, qui a probablement débuté en août 2022, est toujours active, tandis que la campagne Chatico n'est plus opérationnelle. BingeChat est distribué via un site Web qui annonce des services de messagerie gratuits. Notamment, la dernière campagne impliquant GravityRAT permet au logiciel espion d'extraire les sauvegardes de WhatsApp et de recevoir des commandes de suppression de fichiers. De plus, les applications malveillantes offrent une fonctionnalité de chat légitime basée sur l'application open source OMEMO Instant Messenger.

La MalwareHunterTeam a alerté les chercheurs sur cette campagne en partageant le hachage d'un échantillon GravityRAT via un tweet. L'application malveillante, de marque BingeChat et prétendant fournir des services de messagerie, a été identifiée sur la base du nom de fichier APK. Le site Internet bingechat[.]net, où cet échantillon aurait pu être téléchargé, a été découvert. Cependant, l'accès à l'application nécessitait une connexion et l'inscription était fermée. Il est probable que les enregistrements ne soient ouverts que lorsque les opérateurs anticipent la visite d'une victime spécifique, potentiellement en fonction de son adresse IP, de sa géolocalisation, de son URL personnalisée ou dans un délai précis. Par conséquent, les chercheurs pensent que les victimes potentielles sont très ciblées.

Moyens de diffusion

Bien que les chercheurs n'aient pas pu télécharger directement l'application BingeChat à partir du site Web, ils ont trouvé une URL sur VirusTotal qui contenait l'application Android BingeChat malveillante et pointait vers un fichier BingeChat.zip. Cette application avait le même hachage que celui mentionné dans le tweet susmentionné, indiquant que cette URL sert de point de distribution pour cet échantillon GravityRAT spécifique.

De plus, le code de l'application BingeChat fait référence au même nom de domaine, bingechat[.]net, ce qui suggère son utilisation à des fins de distribution. Il convient de noter que l'application malveillante n'a jamais été disponible sur le Google Play Store. Au lieu de cela, il se fait passer pour une version modifiée de l'application Android open-source légitime OMEMO Instant Messenger (IM), mais est étiqueté comme BingeChat. OMEMO IM est une version reconstruite du client Conversations Android Jabber.

Le code HTML du site Web malveillant a été copié à partir du site légitime preview.colorlib.com/theme/BingeChat/ le 5 juillet 2022, à l'aide de l'outil automatisé HTTrack. Colorlib.com est un véritable site Web qui fournit des thèmes WordPress téléchargeables, mais le thème BingeChat semble être indisponible pour le moment. Le domaine bingechat[.]net a été enregistré le 18 août 2022.

L'acteur de la menace derrière GravityRAT n'est toujours pas clair

Bien que les chercheurs de Facebook attribuent GravityRAT à un groupe basé au Pakistan, similaire à la spéculation précédente de Cisco Talos, le groupe derrière le malware reste non identifié. En interne, les chercheurs appellent ce groupe SpaceCobra et leur attribuent les campagnes BingeChat et Chatico.

La fonctionnalité malveillante caractéristique de GravityRAT est associée à un segment de code spécifique qui était auparavant lié à un groupe utilisant des variantes Windows de GravityRAT en 2020.

En 2021, Cyble a publié une analyse d'une autre campagne GravityRAT qui présentait des schémas similaires à BingeChat. Cela comprenait une méthode de distribution comparable où l'application trojanisée se présentait comme une application de chat légitime (SoSafe Chat dans ce cas), l'utilisation du code de messagerie instantanée OMEMO open source et des fonctionnalités malveillantes identiques. La figure 6 fournit une comparaison entre les classes malveillantes de l'échantillon GravityRAT analysé par Cyble et le nouvel échantillon trouvé dans BingeChat. Sur la base de cette analyse, on peut affirmer avec certitude que le code malveillant de BingeChat appartient à la famille des logiciels malveillants GravityRAT.