GravityRAT mobiliojo ryšio grėsmė slepiasi pokalbių programose

Tyrėjai atrado neseniai atnaujintą Android GravityRAT šnipinėjimo programos versiją, kuri platinama per pranešimų siuntimo programas, vadinamas BingeChat ir Chatico. GravityRAT yra nuotolinės prieigos įrankis, kuris buvo naudojamas mažiausiai nuo 2015 m. ir anksčiau buvo naudojamas tikslinėse atakose prieš Indiją. Šios šnipinėjimo programos „Windows“, „Android“ ir „MacOS“ versijų prieinamumas buvo užfiksuotas įvairiuose šaltiniuose, pvz., „Cisco Talos“, „Kaspersky“ ir „Cyble“. Už GravityRAT atsakinga grupė, viduje žinoma kaip SpaceCobra, lieka nenustatyta.

„BingeChat“ kampanija, kuri greičiausiai prasidėjo 2022 m. rugpjūtį, vis dar aktyvi, o „Chatico“ kampanija nebeveikia. „BingeChat“ platinamas per svetainę, kurioje reklamuojamos nemokamos pranešimų siuntimo paslaugos. Pažymėtina, kad naujausia kampanija, apimanti GravityRAT, leidžia šnipinėjimo programoms išgauti „WhatsApp“ atsargines kopijas ir gauti komandas failams ištrinti. Be to, kenkėjiškos programos siūlo teisėtą pokalbių funkciją, pagrįstą atvirojo kodo OMEMO Instant Messenger programa.

MalwareHunterTeam įspėjo tyrėjus apie šią kampaniją, pasidalindama GravityRAT pavyzdžio maiša tviteryje. Kenkėjiška programa, pavadinta „BingeChat“ ir teigianti, kad teikia susirašinėjimo paslaugas, buvo identifikuota pagal APK failo pavadinimą. Buvo aptikta svetainė bingechat[.]net, iš kurios buvo galima atsisiųsti šį pavyzdį. Tačiau norint pasiekti programą reikėjo prisijungti, o registracija buvo uždaryta. Tikėtina, kad registracija atidaroma tik tada, kai operatoriai numato konkrečios aukos apsilankymą, galbūt pagal jų IP adresą, geografinę vietą, tinkintą URL arba per tam tikrą laikotarpį. Todėl mokslininkai mano, kad potencialios aukos yra labai tikslingos.

Paskirstymo priemonės

Nors mokslininkai negalėjo tiesiogiai atsisiųsti programos „BingeChat“ iš svetainės, „VirusTotal“ jie rado URL, kuriame buvo kenkėjiška „Android“ programa „BingeChat“, ir nurodė BingeChat.zip failą. Ši programa turėjo tą pačią maišą, kaip ir minėta pirmiau minėtame tviteryje, nurodant, kad šis URL yra šio konkretaus GravityRAT pavyzdžio platinimo taškas.

Be to, „BingeChat“ programos kode nurodomas tas pats domeno pavadinimas „bingechat[.]net“, o tai rodo, kad jis naudojamas platinimo tikslais. Verta paminėti, kad kenkėjiška programa niekada nebuvo pasiekiama „Google Play“ parduotuvėje. Vietoj to, ji yra pakeista teisėtos atvirojo kodo OMEMO Instant Messenger (IM) Android programos versija, bet pažymėta kaip BingeChat. OMEMO IM yra rekonstruota „Conversations Android Jabber“ kliento versija.

Kenkėjiškos svetainės HTML kodas buvo nukopijuotas iš teisėtos svetainės preview.colorlib.com/theme/BingeChat/ 2022 m. liepos 5 d. naudojant automatinį įrankį HTTrack. Colorlib.com yra tikra svetainė, kurioje pateikiamos atsisiunčiamos „WordPress“ temos, tačiau atrodo, kad „BingeChat“ tema dabar ten nepasiekiama. Bingechat[.]net domenas buvo užregistruotas 2022 m. rugpjūčio 18 d.

Grėsmės aktorius už GravityRAT vis dar neaiškus

Nors „Facebook“ mokslininkai „GravityRAT“ priskiria grupei, įsikūrusiai Pakistane, panašiai kaip anksčiau spėliojo „Cisco Talos“, kenkėjiškų programų grupė lieka nenustatyta. Viduje mokslininkai šią grupę vadina „SpaceCobra“ ir priskiria jiems „BingeChat“ ir „Chatico“ kampanijas.

Būdinga kenkėjiška GravityRAT funkcija yra susijusi su konkrečiu kodo segmentu, kuris anksčiau buvo susietas su grupe, kurioje 2020 m. buvo naudojami GravityRAT Windows variantai.

2021 m. Cyble paskelbė kitos GravityRAT kampanijos, kuri parodė panašius modelius kaip BingeChat, analizę. Tai apėmė panašų platinimo metodą, kai trojanizuota programa buvo teisėta pokalbių programa (tokiu atveju „SoSafe Chat“), atvirojo kodo OMEMO IM kodo naudojimas ir identiškos kenkėjiškos funkcijos. 6 paveiksle pateikiamas Cyble analizuoto GravityRAT mėginio kenkėjiškų klasių palyginimas su nauju BingeChat pavyzdžiu. Remiantis šia analize, galima drąsiai teigti, kad kenkėjiškas kodas BingeChat priklauso GravityRAT kenkėjiškų programų šeimai.