GravityRAT mobilhot gömmer sig i chattappar

Forskare har upptäckt en nyligen uppdaterad version av Android GravityRAT spionprogram som cirkuleras genom meddelandeprogram som kallas BingeChat och Chatico. GravityRAT är ett fjärråtkomstverktyg som har använts sedan åtminstone 2015 och som tidigare har använts i riktade attacker mot Indien. Tillgängligheten av Windows-, Android- och macOS-versioner av detta spionprogram har dokumenterats av olika källor som Cisco Talos, Kaspersky och Cyble. Gruppen som ansvarar för GravityRAT, internt känd som SpaceCobra, är fortfarande oidentifierad.

BingeChat-kampanjen, som troligen startade i augusti 2022, är fortfarande aktiv, medan Chatico-kampanjen inte längre är i drift. BingeChat distribueras via en webbplats som annonserar gratis meddelandetjänster. Särskilt den senaste kampanjen som involverar GravityRAT gör det möjligt för spionprogrammet att extrahera WhatsApp-säkerhetskopior och ta emot kommandon för filradering. Dessutom erbjuder de skadliga apparna legitim chattfunktion baserat på OMEMO Instant Messenger-appen med öppen källkod.

MalwareHunterTeam uppmärksammade forskare på denna kampanj genom att dela hashen av ett GravityRAT-prov genom en tweet. Den skadliga appen, märkt som BingeChat och påstår sig tillhandahålla meddelandetjänster, identifierades utifrån APK-filnamnet. Webbplatsen binechat[.]net, där detta prov kunde ha laddats ner, upptäcktes. För att komma åt appen krävdes dock inloggning och registreringen stängdes. Det är troligt att registreringar endast öppnas när operatörerna förutser ett specifikt offers besök, potentiellt baserat på deras IP-adress, geolokalisering, anpassade URL eller inom en specifik tidsram. Därför tror forskare att potentiella offer är mycket riktade.

Distributionsmedel

Även om forskare inte direkt kunde ladda ner BingeChat-appen från webbplatsen, hittade de en URL på VirusTotal som innehöll den skadliga BingeChat Android-appen och pekade på en BingeChat.zip-fil. Den här appen hade samma hash som den som nämns i ovannämnda tweet, vilket indikerar att denna URL fungerar som en distributionspunkt för detta specifika GravityRAT-exempel.

Dessutom refererar BingeChat-appens kod till samma domännamn, bingechat[.]net, vilket föreslår dess användning för distributionsändamål. Det är värt att notera att den skadliga appen aldrig har varit tillgänglig i Google Play Butik. Istället maskerar den sig som en modifierad version av den legitima open-source OMEMO Instant Messenger (IM) Android-appen, men är märkt som BingeChat. OMEMO IM är en rekonstruerad version av Conversations Android Jabber-klienten.

HTML-koden för den skadliga webbplatsen kopierades från den legitima webbplatsen preview.colorlib.com/theme/BingeChat/ den 5 juli 2022 med det automatiserade verktyget HTTrack. Colorlib.com är en äkta webbplats som tillhandahåller nedladdningsbara WordPress-teman, men BingeChat-temat verkar inte vara tillgängligt där nu. Bingechat[.]net-domänen registrerades den 18 augusti 2022.

Hotskådespelare bakom gravityRAT Fortfarande oklart

Även om Facebook-forskare tillskriver GravityRAT en grupp baserad i Pakistan, liknande tidigare spekulationer från Cisco Talos, är gruppen bakom skadlig programvara oidentifierad. Internt hänvisar forskare till denna grupp som SpaceCobra och tillskriver dem både BingeChat- och Chatico-kampanjerna.

Den karakteristiska skadliga funktionen hos GravityRAT är associerad med ett specifikt kodsegment som tidigare var kopplat till en grupp som använde Windows-varianter av GravityRAT 2020.

År 2021 publicerade Cyble en analys av en annan GravityRAT-kampanj som uppvisade liknande mönster som BingeChat. Detta inkluderade en jämförbar distributionsmetod där den trojaniserade appen poserade som en legitim chattapplikation (SoSafe Chat i det fallet), användningen av OMEMO IM-kod med öppen källkod och identisk skadlig funktionalitet. Figur 6 ger en jämförelse mellan de skadliga klasserna i GravityRAT-provet som analyserats av Cyble och det nya provet som hittades i BingeChat. Baserat på denna analys kan det med säkerhet konstateras att den skadliga koden i BingeChat tillhör familjen GravityRAT malware.