GravityRAT Mobile Threat verbergt zich in chat-apps

Onderzoekers hebben een onlangs bijgewerkte versie van Android GravityRAT-spyware ontdekt die wordt verspreid via berichtentoepassingen genaamd BingeChat en Chatico. GravityRAT is een tool voor externe toegang die sinds minstens 2015 in gebruik is en eerder is gebruikt bij gerichte aanvallen op India. De beschikbaarheid van Windows-, Android- en macOS-versies van deze spyware is gedocumenteerd door verschillende bronnen, zoals Cisco Talos, Kaspersky en Cyble. De groep die verantwoordelijk is voor GravityRAT, intern bekend als SpaceCobra, blijft onbekend.

De BingeChat-campagne, die waarschijnlijk in augustus 2022 is gestart, is nog steeds actief, terwijl de Chatico-campagne niet meer operationeel is. BingeChat wordt verspreid via een website die reclame maakt voor gratis berichtenservices. Met name de nieuwste campagne waarbij GravityRAT betrokken was, stelt de spyware in staat om WhatsApp-back-ups te extraheren en opdrachten te ontvangen voor het verwijderen van bestanden. Bovendien bieden de kwaadaardige apps legitieme chatfunctionaliteit op basis van de open-source OMEMO Instant Messenger-app.

Het MalwareHunterTeam waarschuwde onderzoekers voor deze campagne door de hash van een GravityRAT-sample via een tweet te delen. De kwaadaardige app, gebrandmerkt als BingeChat en beweert berichtendiensten te leveren, werd geïdentificeerd op basis van de APK-bestandsnaam. De website bingechat[.]net, waar dit voorbeeld gedownload zou kunnen zijn, werd ontdekt. Voor toegang tot de app was echter inloggen vereist en de registratie was gesloten. Het is waarschijnlijk dat registraties alleen worden geopend wanneer de operators het bezoek van een specifiek slachtoffer verwachten, mogelijk op basis van hun IP-adres, geolocatie, aangepaste URL of binnen een specifiek tijdsbestek. Daarom zijn onderzoekers van mening dat potentiële slachtoffers zeer gericht zijn.

Middelen van distributie

Hoewel onderzoekers de BingeChat-app niet rechtstreeks van de website konden downloaden, vonden ze een URL op VirusTotal die de kwaadaardige BingeChat Android-app bevatte en naar een BingeChat.zip-bestand wees. Deze app had dezelfde hash als die vermeld in de eerder genoemde tweet, wat aangeeft dat deze URL dient als distributiepunt voor dit specifieke GravityRAT-voorbeeld.

Bovendien verwijst de code van de BingeChat-app naar dezelfde domeinnaam, bingechat[.]net, wat suggereert dat het wordt gebruikt voor distributiedoeleinden. Het is vermeldenswaard dat de kwaadaardige app nooit beschikbaar is geweest in de Google Play Store. In plaats daarvan doet het zich voor als een aangepaste versie van de legitieme open-source OMEMO Instant Messenger (IM) Android-app, maar wordt het aangeduid als BingeChat. OMEMO IM is een gereconstrueerde versie van de Conversations Android Jabber-client.

De HTML-code van de kwaadaardige website werd op 5 juli 2022 gekopieerd van de legitieme site preview.colorlib.com/theme/BingeChat/ met behulp van de geautomatiseerde tool HTTrack. Colorlib.com is een echte website die downloadbare WordPress-thema's biedt, maar het BingeChat-thema lijkt daar nu niet beschikbaar. Het domein bingechat[.]net is geregistreerd op 18 augustus 2022.

Bedreigingsactor achter GravityRAT nog steeds onduidelijk

Hoewel Facebook-onderzoekers GravityRAT toeschrijven aan een groep in Pakistan, vergelijkbaar met eerdere speculaties door Cisco Talos, blijft de groep achter de malware onbekend. Intern noemen onderzoekers deze groep SpaceCobra en schrijven ze zowel de BingeChat- als de Chatico-campagnes aan hen toe.

De kenmerkende kwaadaardige functionaliteit van GravityRAT is gekoppeld aan een specifiek codesegment dat eerder was gekoppeld aan een groep die in 2020 Windows-varianten van GravityRAT gebruikte.

In 2021 publiceerde Cyble een analyse van een andere GravityRAT-campagne die vergelijkbare patronen vertoonde als BingeChat. Dit omvatte een vergelijkbare distributiemethode waarbij de getrojaniseerde app zich voordeed als een legitieme chattoepassing (in dat geval SoSafe Chat), het gebruik van open-source OMEMO IM-code en identieke kwaadaardige functionaliteit. Afbeelding 6 geeft een vergelijking tussen de kwaadaardige klassen in het GravityRAT-voorbeeld dat door Cyble is geanalyseerd en het nieuwe voorbeeld dat in BingeChat is gevonden. Op basis van deze analyse kan met vertrouwen worden gesteld dat de kwaadaardige code in BingeChat tot de GravityRAT-malwarefamilie behoort.

Tegen Zaib
June 16, 2023
Computer Security
Nederlands
June 16, 2023
Computer Security

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

11 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

12 days geleden

Let op: iemand heeft u toegevoegd als herstel-e-mailfraude

10 months geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

7 months geleden

Een potentieel serieuze bedreiging: Trojan:Win32/Suschil!rfn

19 days geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.