Zagrożenia mobilne GravityRAT ukrywają się w aplikacjach czatu

Badacze odkryli niedawno zaktualizowaną wersję oprogramowania szpiegującego Android GravityRAT, która jest rozpowszechniana za pośrednictwem komunikatorów o nazwie BingeChat i Chatico. GravityRAT to narzędzie zdalnego dostępu, które jest używane co najmniej od 2015 roku i było wcześniej wykorzystywane w atakach ukierunkowanych na Indie. Dostępność wersji tego oprogramowania szpiegującego dla systemów Windows, Android i macOS została udokumentowana przez różne źródła, takie jak Cisco Talos, Kaspersky i Cyble. Grupa odpowiedzialna za GravityRAT, znana wewnętrznie jako SpaceCobra, pozostaje niezidentyfikowana.

Kampania BingeChat, która prawdopodobnie rozpoczęła się w sierpniu 2022 r., jest nadal aktywna, podczas gdy kampania Chatico już nie działa. BingeChat jest dystrybuowany za pośrednictwem strony internetowej, która reklamuje bezpłatne usługi przesyłania wiadomości. Warto zauważyć, że najnowsza kampania z udziałem GravityRAT umożliwia oprogramowaniu szpiegowskiemu wyodrębnianie kopii zapasowych WhatsApp i otrzymywanie poleceń usunięcia plików. Ponadto złośliwe aplikacje oferują legalną funkcję czatu opartą na otwartej aplikacji OMEMO Instant Messenger.

MalwareHunterTeam zaalarmował badaczy o tej kampanii, udostępniając hash próbki GravityRAT za pośrednictwem tweeta. Złośliwa aplikacja, oznaczona jako BingeChat i rzekomo dostarczająca usługi przesyłania wiadomości, została zidentyfikowana na podstawie nazwy pliku APK. Wykryto witrynę bingechat[.]net, z której można było pobrać tę próbkę. Jednak dostęp do aplikacji wymagał zalogowania, a rejestracja została zamknięta. Jest prawdopodobne, że rejestracje są otwierane tylko wtedy, gdy operatorzy przewidują wizytę konkretnej ofiary, potencjalnie na podstawie jej adresu IP, geolokalizacji, niestandardowego adresu URL lub w określonym przedziale czasowym. Dlatego naukowcy uważają, że potencjalne ofiary są wysoce ukierunkowane.

Środki dystrybucji

Chociaż badacze nie mogli bezpośrednio pobrać aplikacji BingeChat ze strony internetowej, znaleźli adres URL w VirusTotal, który zawierał złośliwą aplikację BingeChat na Androida i wskazywał na plik BingeChat.zip. Ta aplikacja miała ten sam skrót, co ta wspomniana we wspomnianym tweecie, co wskazuje, że ten adres URL służy jako punkt dystrybucji dla tej konkretnej próbki GravityRAT.

Ponadto kod aplikacji BingeChat odwołuje się do tej samej nazwy domeny, bingechat[.]net, co sugeruje jej użycie do celów dystrybucji. Warto zaznaczyć, że złośliwa aplikacja nigdy nie była dostępna w sklepie Google Play. Zamiast tego udaje zmodyfikowaną wersję legalnej aplikacji open-source OMEMO Instant Messenger (IM) na Androida, ale jest oznaczona jako BingeChat. OMEMO IM to zrekonstruowana wersja klienta Conversations Android Jabber.

Kod HTML złośliwej strony internetowej został skopiowany z legalnej strony Preview.colorlib.com/theme/BingeChat/ 5 lipca 2022 r. przy użyciu zautomatyzowanego narzędzia HTTrack. Colorlib.com to prawdziwa strona internetowa, która udostępnia motywy WordPress do pobrania, ale wydaje się, że motyw BingeChat jest tam teraz niedostępny. Domena bingechat[.]net została zarejestrowana 18 sierpnia 2022 roku.

Zagrożony aktor stojący za GravityRAT wciąż niejasny

Chociaż badacze Facebooka przypisują GravityRAT grupie z siedzibą w Pakistanie, podobnie jak w przypadku wcześniejszych spekulacji Cisco Talos, grupa stojąca za szkodliwym oprogramowaniem pozostaje niezidentyfikowana. Wewnętrznie badacze nazywają tę grupę SpaceCobra i przypisują im zarówno kampanie BingeChat, jak i Chatico.

Charakterystyczna złośliwa funkcjonalność GravityRAT jest powiązana z określonym segmentem kodu, który wcześniej był powiązany z grupą wykorzystującą Windowsowe warianty GravityRAT w 2020 roku.

W 2021 roku Cyble opublikował analizę innej kampanii GravityRAT, która wykazywała podobne wzorce do BingeChat. Obejmowało to porównywalną metodę dystrybucji, w której trojanizowana aplikacja udawała legalną aplikację do czatowania (w tym przypadku SoSafe Chat), wykorzystywanie otwartego kodu OMEMO IM oraz identyczną szkodliwą funkcjonalność. Rysunek 6 przedstawia porównanie złośliwych klas w próbce GravityRAT przeanalizowanej przez Cyble i nowej próbce znalezionej w BingeChat. Na podstawie tej analizy można śmiało stwierdzić, że szkodliwy kod w BingeChat należy do rodziny malware GravityRAT.