Мобильная угроза GravityRAT скрывается в чат-приложениях

Исследователи обнаружили недавно обновленную версию шпионского ПО Android GravityRAT, которое распространяется через приложения для обмена сообщениями BingeChat и Chatico. GravityRAT — это инструмент удаленного доступа, который используется как минимум с 2015 года и ранее применялся для целевых атак на Индию. Наличие версий этого шпионского ПО для Windows, Android и macOS было задокументировано различными источниками, такими как Cisco Talos, Kaspersky и Cyble. Группа, ответственная за GravityRAT, известная внутри как SpaceCobra, остается неизвестной.

Кампания BingeChat, которая, вероятно, началась в августе 2022 года, все еще активна, а кампания Chatico больше не работает. BingeChat распространяется через веб-сайт, рекламирующий бесплатные службы обмена сообщениями. Примечательно, что последняя кампания с участием GravityRAT позволяет шпионскому ПО извлекать резервные копии WhatsApp и получать команды на удаление файлов. Кроме того, вредоносные приложения предлагают законные функции чата на основе приложения OMEMO Instant Messenger с открытым исходным кодом.

Команда MalwareHunterTeam предупредила исследователей об этой кампании, поделившись хэшем образца GravityRAT через твит. Вредоносное приложение под торговой маркой BingeChat, претендующее на предоставление услуг обмена сообщениями, было идентифицировано на основе имени файла APK. Был обнаружен сайт bingechat[.]net, с которого можно было скачать этот образец. Однако для доступа к приложению требовался вход в систему, и регистрация была закрыта. Вполне вероятно, что регистрация открывается только тогда, когда операторы ожидают визита конкретной жертвы, возможно, на основе их IP-адреса, геолокации, пользовательского URL-адреса или в течение определенного периода времени. Следовательно, исследователи считают, что потенциальные жертвы очень целенаправленны.

Средства распространения

Хотя исследователи не смогли напрямую загрузить приложение BingeChat с веб-сайта, они нашли URL-адрес на VirusTotal, который содержал вредоносное Android-приложение BingeChat и указывал на файл BingeChat.zip. У этого приложения был тот же хэш, что и у упомянутого в вышеупомянутом твите, что указывает на то, что этот URL-адрес служит точкой распространения для этого конкретного образца GravityRAT.

Кроме того, код приложения BingeChat ссылается на то же доменное имя, bingechat[.]net, что предполагает его использование для целей распространения. Стоит отметить, что вредоносное приложение никогда не было доступно в магазине Google Play. Вместо этого он маскируется под модифицированную версию законного Android-приложения OMEMO Instant Messenger (IM) с открытым исходным кодом, но помечен как BingeChat. OMEMO IM — это реконструированная версия Jabber-клиента Conversations для Android.

HTML-код вредоносного сайта был скопирован с легитимного сайта preview.colorlib.com/theme/BingeChat/ 5 июля 2022 года с помощью автоматизированного инструмента HTTrack. Colorlib.com — это настоящий веб-сайт, который предоставляет загружаемые темы WordPress, но тема BingeChat сейчас там недоступна. Домен bingechat[.]net был зарегистрирован 18 августа 2022 года.

Опасный актер, стоящий за GravityRAT, все еще неясен

Хотя исследователи Facebook относят GravityRAT к группе, базирующейся в Пакистане, как и в предыдущих предположениях Cisco Talos, группа, стоящая за вредоносным ПО, остается неизвестной. Внутри исследователи называют эту группу SpaceCobra и приписывают им кампании BingeChat и Chatico.

Характерная вредоносная функциональность GravityRAT связана с определенным сегментом кода, который ранее был связан с группой, использующей варианты GravityRAT для Windows в 2020 году.

В 2021 году Cyble опубликовала анализ другой кампании GravityRAT, в которой были обнаружены модели, аналогичные BingeChat. Это включало сопоставимый метод распространения, когда троянизированное приложение выдавало себя за законное приложение для чата (в данном случае SoSafe Chat), использование кода обмена мгновенными сообщениями OMEMO с открытым исходным кодом и идентичные вредоносные функции. На рис. 6 показано сравнение вредоносных классов в образце GravityRAT, проанализированном Cyble, и новом образце, обнаруженном в BingeChat. На основании этого анализа можно с уверенностью сказать, что вредоносный код в BingeChat относится к семейству вредоносных программ GravityRAT.