La minaccia mobile GravityRAT si nasconde nelle app di chat

I ricercatori hanno scoperto una versione aggiornata di recente dello spyware Android GravityRAT che circola attraverso applicazioni di messaggistica chiamate BingeChat e Chatico. GravityRAT è uno strumento di accesso remoto che è in uso almeno dal 2015 ed è stato precedentemente impiegato in attacchi mirati contro l'India. La disponibilità di versioni Windows, Android e macOS di questo spyware è stata documentata da varie fonti come Cisco Talos, Kaspersky e Cyble. Il gruppo responsabile di GravityRAT, noto internamente come SpaceCobra, rimane non identificato.

La campagna BingeChat, iniziata probabilmente nell'agosto 2022, è ancora attiva, mentre la campagna Chatico non è più operativa. BingeChat è distribuito tramite un sito Web che pubblicizza servizi di messaggistica gratuiti. In particolare, l'ultima campagna che coinvolge GravityRAT consente allo spyware di estrarre i backup di WhatsApp e ricevere comandi per l'eliminazione dei file. Inoltre, le app dannose offrono funzionalità di chat legittime basate sull'app OMEMO Instant Messenger open source.

Il MalwareHunterTeam ha avvisato i ricercatori di questa campagna condividendo l'hash di un campione di GravityRAT attraverso un tweet. L'app dannosa, contrassegnata come BingeChat e che afferma di fornire servizi di messaggistica, è stata identificata in base al nome del file APK. È stato scoperto il sito Web bingechat[.]net, dove questo campione avrebbe potuto essere scaricato. Tuttavia, l'accesso all'app ha richiesto l'accesso e la registrazione è stata chiusa. È probabile che le registrazioni vengano aperte solo quando gli operatori anticipano la visita di una vittima specifica, potenzialmente in base al loro indirizzo IP, geolocalizzazione, URL personalizzato o entro un periodo di tempo specifico. Pertanto, i ricercatori ritengono che le potenziali vittime siano altamente mirate.

Mezzi di distribuzione

Sebbene i ricercatori non potessero scaricare direttamente l'app BingeChat dal sito Web, hanno trovato un URL su VirusTotal che conteneva l'app Android BingeChat dannosa e puntava a un file BingeChat.zip. Questa app aveva lo stesso hash di quella menzionata nel suddetto tweet, indicando che questo URL funge da punto di distribuzione per questo specifico campione di GravityRAT.

Inoltre, il codice dell'app BingeChat fa riferimento allo stesso nome di dominio, bingechat[.]net, che ne suggerisce l'utilizzo per scopi di distribuzione. Vale la pena notare che l'app dannosa non è mai stata disponibile sul Google Play Store. Invece, si maschera come una versione modificata della legittima app Android OMEMO Instant Messenger (IM) open source, ma è etichettata come BingeChat. OMEMO IM è una versione ricostruita del client Conversations Android Jabber.

Il codice HTML del sito Web dannoso è stato copiato dal sito legittimo preview.colorlib.com/theme/BingeChat/ il 5 luglio 2022, utilizzando lo strumento automatico HTTrack. Colorlib.com è un vero sito Web che fornisce temi WordPress scaricabili, ma il tema BingeChat sembra non essere disponibile al momento. Il dominio bingechat[.]net è stato registrato il 18 agosto 2022.

L'attore della minaccia dietro GravityRAT non è ancora chiaro

Sebbene i ricercatori di Facebook attribuiscano GravityRAT a un gruppo con sede in Pakistan, analogamente alle precedenti speculazioni di Cisco Talos, il gruppo dietro il malware rimane non identificato. Internamente, i ricercatori si riferiscono a questo gruppo come SpaceCobra e attribuiscono loro entrambe le campagne BingeChat e Chatico.

La caratteristica funzionalità dannosa di GravityRAT è associata a un segmento di codice specifico precedentemente collegato a un gruppo che utilizzava varianti Windows di GravityRAT nel 2020.

Nel 2021, Cyble ha pubblicato un'analisi di un'altra campagna GravityRAT che mostrava modelli simili a BingeChat. Ciò includeva un metodo di distribuzione comparabile in cui l'app trojanizzata si presentava come un'applicazione di chat legittima (SoSafe Chat in quel caso), l'uso del codice IM OMEMO open source e funzionalità dannose identiche. La Figura 6 fornisce un confronto tra le classi dannose nel campione GravityRAT analizzato da Cyble e il nuovo campione trovato in BingeChat. Sulla base di questa analisi, si può affermare con sicurezza che il codice dannoso in BingeChat appartiene alla famiglia di malware GravityRAT.