GravityRAT 移动威胁隐藏在聊天应用程序中

研究人员发现了一个最近更新版本的 Android GravityRAT 间谍软件，该软件正在通过名为 BingeChat 和 Chatico 的消息应用程序传播。 GravityRAT 是一种远程访问工具，至少从 2015 年开始使用，之前曾被用于针对印度的针对性攻击。此间谍软件的 Windows、Android 和 macOS 版本的可用性已被各种来源记录，例如 Cisco Talos、Kaspersky 和 Cyble。负责 GravityRAT 的组织（内部称为 SpaceCobra）仍未确定。

可能于 2022 年 8 月开始的 BingeChat 活动仍在进行中，而 Chatico 活动已不再运作。 BingeChat 通过宣传免费消息服务的网站进行分发。值得注意的是，涉及 GravityRAT 的最新活动使间谍软件能够提取 WhatsApp 备份并接收文件删除命令。此外，恶意应用程序还提供基于开源 OMEMO Instant Messenger 应用程序的合法聊天功能。

MalwareHunterTeam 通过一条推文分享 GravityRAT 样本的哈希值，提醒研究人员注意该活动。根据 APK 文件名识别出恶意应用程序，品牌为 BingeChat 并声称提供消息服务。发现了可以下载该样本的网站 bingechat[.]net。但是，访问该应用程序需要登录，并且注册已关闭。很可能仅当运营商预期特定受害者的访问时才开放注册，可能基于他们的 IP 地址、地理位置、自定义 URL 或在特定时间范围内。因此，研究人员认为潜在的受害者具有很强的针对性。

分配方式

尽管研究人员无法直接从该网站下载 BingeChat 应用程序，但他们在 VirusTotal 上找到了一个包含恶意 BingeChat Android 应用程序的 URL，并指向一个 BingeChat.zip 文件。此应用程序与上述推文中提到的应用程序具有相同的哈希值，表明此 URL 用作此特定 GravityRAT 样本的分发点。

此外，BingeChat 应用程序的代码引用了相同的域名 bingechat[.]net，这表明其用于分发目的。值得注意的是，该恶意应用从未在 Google Play 商店上架。相反，它伪装成合法开源 OMEMO Instant Messenger (IM) Android 应用程序的修改版本，但被标记为 BingeChat。 OMEMO IM 是 Conversations Android Jabber 客户端的重构版本。

恶意网站的 HTML 代码是在 2022 年 7 月 5 日使用自动化工具 HTTrack 从合法网站 preview.colorlib.com/theme/BingeChat/ 复制而来的。 Colorlib.com 是一个提供可下载 WordPress 主题的正版网站，但 BingeChat 主题现在似乎不可用。 bingechat[.]net 域名于 2022 年 8 月 18 日注册。

GravityRAT 背后的威胁演员仍不清楚

尽管 Facebook 研究人员将 GravityRAT 归因于一个位于巴基斯坦的组织，类似于 Cisco Talos 之前的猜测，但该恶意软件背后的组织仍未被确认。在内部，研究人员将这个组织称为 SpaceCobra，并将 BingeChat 和 Chatico 活动归因于他们。

GravityRAT 特有的恶意功能与一个特定的代码段相关联，该代码段之前与一个在 2020 年使用 Windows GravityRAT 变体的组织相关联。

2021 年，Cyble 发布了对另一个 GravityRAT 活动的分析，该活动表现出与 BingeChat 相似的模式。这包括类似的分发方法，其中木马化的应用程序伪装成合法的聊天应用程序（在这种情况下是 SoSafe Chat），使用开源 OMEMO IM 代码，以及相同的恶意功能。图 6 比较了 Cyble 分析的 GravityRAT 样本中的恶意类与 BingeChat 中发现的新样本。基于此分析，可以肯定地说 BingeChat 中的恶意代码属于 GravityRAT 恶意软件家族。