GravityRAT mobiltrussel skjuler seg i chat-apper
Forskere har oppdaget en nylig oppdatert versjon av Android GravityRAT-spyware som sirkuleres gjennom meldingsapplikasjoner kalt BingeChat og Chatico. GravityRAT er et fjerntilgangsverktøy som har vært i bruk siden minst 2015 og har tidligere vært brukt i målrettede angrep mot India. Tilgjengeligheten av Windows-, Android- og macOS-versjoner av denne spionvaren er dokumentert av forskjellige kilder som Cisco Talos, Kaspersky og Cyble. Gruppen ansvarlig for GravityRAT, internt kjent som SpaceCobra, forblir uidentifisert.
BingeChat-kampanjen, som sannsynligvis startet i august 2022, er fortsatt aktiv, mens Chatico-kampanjen ikke lenger er operativ. BingeChat distribueres gjennom et nettsted som annonserer gratis meldingstjenester. Spesielt gjør den siste kampanjen som involverer GravityRAT at spyware kan trekke ut WhatsApp-sikkerhetskopier og motta kommandoer for filsletting. Dessuten tilbyr de ondsinnede appene legitim chat-funksjonalitet basert på åpen kildekode OMEMO Instant Messenger-appen.
MalwareHunterTeam varslet forskere om denne kampanjen ved å dele hashen til en GravityRAT-prøve gjennom en tweet. Den ondsinnede appen, merket som BingeChat og hevder å tilby meldingstjenester, ble identifisert basert på APK-filnavnet. Nettstedet bingechat[.]net, hvor denne prøven kunne ha blitt lastet ned, ble oppdaget. Å få tilgang til appen krevde imidlertid pålogging, og registreringen ble stengt. Det er sannsynlig at registreringer bare åpnes når operatørene forventer et spesifikt offers besøk, potensielt basert på deres IP-adresse, geolokalisering, egendefinerte URL eller innenfor en bestemt tidsramme. Derfor mener forskere at potensielle ofre er svært målrettet.
Distribusjonsmidler
Selv om forskere ikke kunne laste ned BingeChat-appen direkte fra nettstedet, fant de en URL på VirusTotal som inneholdt den ondsinnede BingeChat Android-appen og pekte på en BingeChat.zip-fil. Denne appen hadde samme hash som den som ble nevnt i den nevnte tweeten, noe som indikerer at denne URL-en fungerer som et distribusjonspunkt for denne spesifikke GravityRAT-prøven.
Videre refererer BingeChat-appens kode til det samme domenenavnet, bingechat[.]net, som antyder bruken for distribusjonsformål. Det er verdt å merke seg at den skadelige appen aldri har vært tilgjengelig i Google Play-butikken. I stedet maskerer den seg som en modifisert versjon av den legitime åpen kildekode OMEMO Instant Messenger (IM) Android-appen, men er merket som BingeChat. OMEMO IM er en rekonstruert versjon av Conversations Android Jabber-klienten.
HTML-koden til det ondsinnede nettstedet ble kopiert fra det legitime nettstedet preview.colorlib.com/theme/BingeChat/ 5. juli 2022 ved å bruke det automatiserte verktøyet HTTrack. Colorlib.com er et ekte nettsted som tilbyr nedlastbare WordPress-temaer, men BingeChat-temaet ser ut til å være utilgjengelig der nå. Bingechat[.]net-domenet ble registrert 18. august 2022.
Trusselskuespiller bak GravityRAT Fortsatt uklart
Selv om Facebook-forskere tilskriver GravityRAT en gruppe basert i Pakistan, i likhet med tidligere spekulasjoner fra Cisco Talos, forblir gruppen bak skadevare uidentifisert. Internt omtaler forskere denne gruppen som SpaceCobra og tilskriver både BingeChat- og Chatico-kampanjene dem.
Den karakteristiske ondsinnede funksjonaliteten til GravityRAT er assosiert med et spesifikt kodesegment som tidligere var knyttet til en gruppe som bruker Windows-varianter av GravityRAT i 2020.
I 2021 publiserte Cyble en analyse av en annen GravityRAT-kampanje som viste lignende mønstre som BingeChat. Dette inkluderte en sammenlignbar distribusjonsmetode der den trojaniserte appen poserte som en legitim chat-applikasjon (SoSafe Chat i så fall), bruk av åpen kildekode OMEMO IM-kode og identisk ondsinnet funksjonalitet. Figur 6 gir en sammenligning mellom de ondsinnede klassene i GravityRAT-prøven analysert av Cyble og den nye prøven funnet i BingeChat. Basert på denne analysen kan det med sikkerhet fastslås at den skadelige koden i BingeChat tilhører GravityRAT malware-familien.