GravityRAT 移動威脅隱藏在聊天應用程序中

研究人員發現了一個最近更新版本的 Android GravityRAT 間諜軟件，該軟件正在通過名為 BingeChat 和 Chatico 的消息應用程序傳播。 GravityRAT 是一種遠程訪問工具，至少從 2015 年開始使用，之前曾被用於針對印度的針對性攻擊。此間諜軟件的 Windows、Android 和 macOS 版本的可用性已被各種來源記錄，例如 Cisco Talos、Kaspersky 和 Cyble。負責 GravityRAT 的組織（內部稱為 SpaceCobra）仍未確定。

可能於 2022 年 8 月開始的 BingeChat 活動仍在進行中，而 Chatico 活動已不再運作。 BingeChat 通過宣傳免費消息服務的網站進行分發。值得注意的是，涉及 GravityRAT 的最新活動使間諜軟件能夠提取 WhatsApp 備份並接收文件刪除命令。此外，惡意應用程序還提供基於開源 OMEMO Instant Messenger 應用程序的合法聊天功能。

MalwareHunterTeam 通過一條推文分享 GravityRAT 樣本的哈希值，提醒研究人員注意該活動。根據 APK 文件名識別出惡意應用程序，品牌為 BingeChat 並聲稱提供消息服務。發現了可以下載該樣本的網站 bingechat[.]net。但是，訪問該應用程序需要登錄，並且註冊已關閉。很可能僅當運營商預期特定受害者的訪問時才開放註冊，可能基於他們的 IP 地址、地理位置、自定義 URL 或在特定時間範圍內。因此，研究人員認為潛在的受害者俱有很強的針對性。

分配方式

儘管研究人員無法直接從該網站下載 BingeChat 應用程序，但他們在 VirusTotal 上找到了一個包含惡意 BingeChat Android 應用程序的 URL，並指向一個 BingeChat.zip 文件。此應用程序與上述推文中提到的應用程序具有相同的哈希值，表明此 URL 用作此特定 GravityRAT 樣本的分發點。

此外，BingeChat 應用程序的代碼引用了相同的域名 bingechat[.]net，這表明其用於分發目的。值得注意的是，該惡意應用從未在 Google Play 商店上架。相反，它偽裝成合法開源 OMEMO Instant Messenger (IM) Android 應用程序的修改版本，但被標記為 BingeChat。 OMEMO IM 是 Conversations Android Jabber 客戶端的重構版本。

惡意網站的 HTML 代碼是在 2022 年 7 月 5 日使用自動化工具 HTTrack 從合法網站 preview.colorlib.com/theme/BingeChat/ 複製而來的。 Colorlib.com 是一個提供可下載 WordPress 主題的正版網站，但 BingeChat 主題現在似乎不可用。 bingechat[.]net 域名於 2022 年 8 月 18 日註冊。

GravityRAT 背後的威脅演員仍不清楚

儘管 Facebook 研究人員將 GravityRAT 歸因於一個位於巴基斯坦的組織，類似於 Cisco Talos 之前的猜測，但該惡意軟件背後的組織仍未被確認。在內部，研究人員將這個組織稱為 SpaceCobra，並將 BingeChat 和 Chatico 活動歸因於他們。

GravityRAT 特有的惡意功能與一個特定的代碼段相關聯，該代碼段之前與一個在 2020 年使用 Windows GravityRAT 變體的組織相關聯。

2021 年，Cyble 發布了對另一個 GravityRAT 活動的分析，該活動表現出與 BingeChat 相似的模式。這包括類似的分發方法，其中木馬化的應用程序偽裝成合法的聊天應用程序（在這種情況下是 SoSafe Chat），使用開源 OMEMO IM 代碼，以及相同的惡意功能。圖 6 比較了 Cyble 分析的 GravityRAT 樣本中的惡意類與 BingeChat 中發現的新樣本。基於此分析，可以肯定地說 BingeChat 中的惡意代碼屬於 GravityRAT 惡意軟件家族。