GravityRAT mobiltrussel skjuler seg i chat-apper

Forskere har oppdaget en nylig oppdatert versjon av Android GravityRAT-spyware som sirkuleres gjennom meldingsapplikasjoner kalt BingeChat og Chatico. GravityRAT er et fjerntilgangsverktøy som har vært i bruk siden minst 2015 og har tidligere vært brukt i målrettede angrep mot India. Tilgjengeligheten av Windows-, Android- og macOS-versjoner av denne spionvaren er dokumentert av forskjellige kilder som Cisco Talos, Kaspersky og Cyble. Gruppen ansvarlig for GravityRAT, internt kjent som SpaceCobra, forblir uidentifisert.

BingeChat-kampanjen, som sannsynligvis startet i august 2022, er fortsatt aktiv, mens Chatico-kampanjen ikke lenger er operativ. BingeChat distribueres gjennom et nettsted som annonserer gratis meldingstjenester. Spesielt gjør den siste kampanjen som involverer GravityRAT at spyware kan trekke ut WhatsApp-sikkerhetskopier og motta kommandoer for filsletting. Dessuten tilbyr de ondsinnede appene legitim chat-funksjonalitet basert på åpen kildekode OMEMO Instant Messenger-appen.

MalwareHunterTeam varslet forskere om denne kampanjen ved å dele hashen til en GravityRAT-prøve gjennom en tweet. Den ondsinnede appen, merket som BingeChat og hevder å tilby meldingstjenester, ble identifisert basert på APK-filnavnet. Nettstedet bingechat[.]net, hvor denne prøven kunne ha blitt lastet ned, ble oppdaget. Å få tilgang til appen krevde imidlertid pålogging, og registreringen ble stengt. Det er sannsynlig at registreringer bare åpnes når operatørene forventer et spesifikt offers besøk, potensielt basert på deres IP-adresse, geolokalisering, egendefinerte URL eller innenfor en bestemt tidsramme. Derfor mener forskere at potensielle ofre er svært målrettet.

Distribusjonsmidler

Selv om forskere ikke kunne laste ned BingeChat-appen direkte fra nettstedet, fant de en URL på VirusTotal som inneholdt den ondsinnede BingeChat Android-appen og pekte på en BingeChat.zip-fil. Denne appen hadde samme hash som den som ble nevnt i den nevnte tweeten, noe som indikerer at denne URL-en fungerer som et distribusjonspunkt for denne spesifikke GravityRAT-prøven.

Videre refererer BingeChat-appens kode til det samme domenenavnet, bingechat[.]net, som antyder bruken for distribusjonsformål. Det er verdt å merke seg at den skadelige appen aldri har vært tilgjengelig i Google Play-butikken. I stedet maskerer den seg som en modifisert versjon av den legitime åpen kildekode OMEMO Instant Messenger (IM) Android-appen, men er merket som BingeChat. OMEMO IM er en rekonstruert versjon av Conversations Android Jabber-klienten.

HTML-koden til det ondsinnede nettstedet ble kopiert fra det legitime nettstedet preview.colorlib.com/theme/BingeChat/ 5. juli 2022 ved å bruke det automatiserte verktøyet HTTrack. Colorlib.com er et ekte nettsted som tilbyr nedlastbare WordPress-temaer, men BingeChat-temaet ser ut til å være utilgjengelig der nå. Bingechat[.]net-domenet ble registrert 18. august 2022.

Trusselskuespiller bak GravityRAT Fortsatt uklart

Selv om Facebook-forskere tilskriver GravityRAT en gruppe basert i Pakistan, i likhet med tidligere spekulasjoner fra Cisco Talos, forblir gruppen bak skadevare uidentifisert. Internt omtaler forskere denne gruppen som SpaceCobra og tilskriver både BingeChat- og Chatico-kampanjene dem.

Den karakteristiske ondsinnede funksjonaliteten til GravityRAT er assosiert med et spesifikt kodesegment som tidligere var knyttet til en gruppe som bruker Windows-varianter av GravityRAT i 2020.

I 2021 publiserte Cyble en analyse av en annen GravityRAT-kampanje som viste lignende mønstre som BingeChat. Dette inkluderte en sammenlignbar distribusjonsmetode der den trojaniserte appen poserte som en legitim chat-applikasjon (SoSafe Chat i så fall), bruk av åpen kildekode OMEMO IM-kode og identisk ondsinnet funksjonalitet. Figur 6 gir en sammenligning mellom de ondsinnede klassene i GravityRAT-prøven analysert av Cyble og den nye prøven funnet i BingeChat. Basert på denne analysen kan det med sikkerhet fastslås at den skadelige koden i BingeChat tilhører GravityRAT malware-familien.

June 16, 2023
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.