A GravityRAT Mobile Threat elrejti a csevegőalkalmazásokat

A kutatók felfedezték az Android GravityRAT spyware nemrégiben frissített verzióját, amelyet a BingeChat és Chatico nevű üzenetküldő alkalmazásokon keresztül terjesztenek. A GravityRAT egy távelérési eszköz, amelyet legalább 2015 óta használnak, és korábban India elleni célzott támadásokban alkalmazták. A kémprogram Windows, Android és macOS verzióinak elérhetőségét különböző források dokumentálták, például a Cisco Talos, a Kaspersky és a Cyble. A GravityRAT-ért felelős csoport, belső nevén SpaceCobra, továbbra is ismeretlen.

A BingeChat kampány, amely valószínűleg 2022 augusztusában indult, még mindig aktív, míg a Chatico kampány már nem működik. A BingeChat ingyenes üzenetküldő szolgáltatásokat hirdető webhelyen keresztül kerül terjesztésre. Nevezetesen, a GravityRAT-ot tartalmazó legújabb kampány lehetővé teszi a kémprogramok számára, hogy kivonják a WhatsApp biztonsági másolatait, és parancsokat kapjanak a fájl törléséhez. Ezenkívül a rosszindulatú alkalmazások a nyílt forráskódú OMEMO Instant Messenger alkalmazáson alapuló legitim csevegési funkciókat kínálnak.

A MalwareHunterTeam felhívta a kutatók figyelmét erre a kampányra egy GravityRAT minta hash-ének megosztásával egy tweetben. A rosszindulatú, BingeChat márkájú alkalmazást, amely azt állítja, hogy üzenetküldő szolgáltatásokat nyújt, az APK-fájl neve alapján azonosították. Felfedezték a bingechat[.]net webhelyet, ahonnan ez a minta letölthető volt. Az alkalmazás eléréséhez azonban be kellett jelentkezni, és a regisztráció lezárult. Valószínűleg csak akkor nyitják meg a regisztrációkat, ha a szolgáltatók előre látják egy adott áldozat látogatását, esetleg IP-címük, földrajzi helyük, egyéni URL-címük alapján, vagy egy meghatározott időkereten belül. Ezért a kutatók úgy vélik, hogy a potenciális áldozatok erősen célzottak.

Elosztási eszközök

Bár a kutatók nem tudták közvetlenül letölteni a BingeChat alkalmazást a webhelyről, a VirusTotalon találtak egy URL-t, amely a rosszindulatú BingeChat Android-alkalmazást tartalmazta, és egy BingeChat.zip fájlra mutatott. Ennek az alkalmazásnak ugyanaz a hash volt, mint a fent említett tweetben, ami azt jelzi, hogy ez az URL terjesztési pontként szolgál ennek a konkrét GravityRAT-mintának.

Ezenkívül a BingeChat alkalmazás kódja ugyanarra a tartománynévre, a bingechat[.]netre hivatkozik, ami azt sugallja, hogy azt terjesztési célokra használják. Érdemes megjegyezni, hogy a rosszindulatú alkalmazás soha nem volt elérhető a Google Play Áruházban. Ehelyett a legitim, nyílt forráskódú OMEMO Instant Messenger (IM) Android-alkalmazás módosított verziójaként álcázza magát, de BingeChat néven van megjelölve. Az OMEMO IM a Conversations Android Jabber kliens rekonstruált változata.

A rosszindulatú webhely HTML-kódját a preview.colorlib.com/theme/BingeChat/ legális webhelyről másolták ki 2022. július 5-én a HTTrack automatizált eszközzel. A Colorlib.com egy eredeti webhely, amely letölthető WordPress-témákat kínál, de úgy tűnik, hogy a BingeChat téma jelenleg nem érhető el. A binchat[.]net domain regisztrációja 2022. augusztus 18-án történt.

A GravityRAT mögött fenyegető színész még mindig nem világos

Bár a Facebook kutatói a GravityRAT-ot egy pakisztáni székhelyű csoportnak tulajdonítják, hasonlóan a Cisco Talos korábbi spekulációihoz, a kártevő mögött álló csoportot továbbra sem azonosították. Belsőleg a kutatók ezt a csoportot SpaceCobra-nak nevezik, és a BingeChat és a Chatico kampányt is nekik tulajdonítják.

A GravityRAT jellegzetes rosszindulatú funkciója egy meghatározott kódszegmenshez kapcsolódik, amely korábban a GravityRAT Windows-változatait 2020-ban alkalmazó csoporthoz kapcsolódott.

2021-ben a Cyble közzétett egy másik GravityRAT-kampány elemzését, amely hasonló mintákat mutatott, mint a BingeChat. Ez magában foglalta egy hasonló terjesztési módszert, ahol a trójai alkalmazás legitim csevegőalkalmazásként jelent meg (ebben az esetben a SoSafe Chat), nyílt forráskódú OMEMO IM kódot és azonos rosszindulatú funkcionalitást. A 6. ábra összehasonlítja a Cyble által elemzett GravityRAT-mintában szereplő rosszindulatú osztályokat és a BingeChat-ben talált új mintát. Ezen elemzés alapján magabiztosan kijelenthető, hogy a BingeChat rosszindulatú kódja a GravityRAT malware családhoz tartozik.