GravityRAT モバイルの脅威はチャット アプリに潜む

研究者らは、BingeChat および Chatico と呼ばれるメッセージング アプリケーションを通じて流通している Android GravityRAT スパイウェアの最近更新されたバージョンを発見しました。 GravityRAT は、少なくとも 2015 年から使用されているリモート アクセス ツールで、以前はインドに対する標的型攻撃に使用されていました。このスパイウェアの Windows、Android、および macOS バージョンの入手可能性は、Cisco Talos、Kaspersky、Cyble などのさまざまなソースによって文書化されています。 GravityRAT を担当するグループは社内では SpaceCobra として知られていますが、依然として正体は不明です。

おそらく 2022 年 8 月に開始されたと思われる BingeChat キャンペーンはまだ活動中ですが、Chatico キャンペーンはもう運営されていません。 BingeChat は、無料のメッセージング サービスを宣伝する Web サイトを通じて配布されます。特に、GravityRAT が関係する最新のキャンペーンでは、スパイウェアが WhatsApp のバックアップを抽出し、ファイル削除のコマンドを受信できるようになります。さらに、悪意のあるアプリは、オープンソースの OMEMO インスタント メッセンジャー アプリに基づいた正規のチャット機能を提供します。

MalwareHunterTeam は、ツイートを通じて GravityRAT サンプルのハッシュを共有することで、研究者にこのキャンペーンについて警告しました。この悪意のあるアプリは、BingeChat というブランド名が付けられ、メッセージング サービスを提供すると主張しており、APK ファイル名に基づいて特定されました。このサンプルがダウンロードされた可能性がある Web サイト bingechat[.]net が発見されました。ただし、アプリへのアクセスにはログインが必要で、登録は終了した。おそらく、IP アドレス、位置情報、カスタム URL、または特定の期間内に基づいて、オペレーターが特定の被害者の訪問を予測した場合にのみ、登録が開始される可能性があります。したがって、研究者らは、潜在的な被害者は高度に標的化されていると考えています。

配布手段

研究者らは、Web サイトから BingeChat アプリを直接ダウンロードすることはできませんでしたが、悪意のある BingeChat Android アプリを含む、BingeChat.zip ファイルを指す URL を VirusTotal で発見しました。このアプリには、前述のツイートで言及されたものと同じハッシュがあり、この URL がこの特定の GravityRAT サンプルの配布ポイントとして機能することを示しています。

さらに、BingeChat アプリのコードは同じドメイン名、bingechat[.]net を参照しており、配布目的での使用が示唆されています。この悪意のあるアプリが Google Play ストアで入手可能になったことは一度もないことは注目に値します。代わりに、正規のオープンソース OMEMO インスタント メッセンジャー (IM) Android アプリの修正版を装いますが、BingeChat というラベルが付いています。 OMEMO IM は、Conversations Android Jabber クライアントの再構築バージョンです。

悪意のある Web サイトの HTML コードは、自動化ツール HTTrack を使用して、2022 年 7 月 5 日に正規のサイトreview.colorlib.com/theme/BingeChat/からコピーされました。 Colorlib.com は、ダウンロード可能な WordPress テーマを提供する本物の Web サイトですが、BingeChat テーマは現在利用できないようです。 bingechat[.]net ドメインは 2022 年 8 月 18 日に登録されました。

GravityRAT の背後にいる脅威アクターはまだ不明

Facebook の研究者らは、Cisco Talos による以前の推測と同様に、GravityRAT はパキスタンに拠点を置くグループであると考えていますが、マルウェアの背後にあるグループはまだ特定されていません。研究者たちは社内でこのグループを SpaceCobra と呼び、BingeChat キャンペーンと Chatico キャンペーンの両方が彼らによるものであると考えています。

GravityRAT の特徴的な悪意のある機能は、2020 年に GravityRAT の Windows 亜種を使用するグループに以前リンクされていた特定のコード セグメントに関連付けられています。

2021 年、Cyble は、BingeChat と同様のパターンを示した別の GravityRAT キャンペーンの分析を発表しました。これには、トロイの木馬化されたアプリが正規のチャット アプリケーション (この場合は SoSafe Chat) を装う同様の配布方法、オープンソースの OMEMO IM コードの使用、および同一の悪意のある機能が含まれていました。図 6 は、Cyble によって分析された GravityRAT サンプル内の悪意のあるクラスと、BingeChat で見つかった新しいサンプルの比較を示しています。この分析に基づいて、BingeChat の悪意のあるコードは GravityRAT マルウェア ファミリに属していると自信を持って言えます。

Zaib
June 16, 2023
Computer Security
日本語
June 16, 2023
Computer Security

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

5 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。