Μια νέα εκστρατεία κακόβουλου λογισμικού για Android που διαδίδει την τελευταία έκδοση του GravityRAT βρίσκεται σε εξέλιξη από τον Αύγουστο του 2020, μολύνοντας κινητές συσκευές με ένα trojanized chat app με την ονομασία “BingeChat” που προσπαθεί να κλέψει δεδομένα από τις συσκευές των θυμάτων.
Σύμφωνα με τον ερευνητή Lukas Stefanko από την ESET, ο οποίος ανέλυσε ένα δείγμα μετά από μια πληροφορία που έλαβε από το MalwareHunterTeam, μία από τις αξιοσημείωτες νέες προσθήκες που εντοπίστηκαν στην τελευταία έκδοση του GravityRAT είναι η δυνατότητα κλοπής αρχείων αντιγράφων ασφαλείας του WhatsApp.
Τα αντίγραφα ασφαλείας του WhatsApp δημιουργούνται για να βοηθήσουν τους χρήστες να μεταφέρουν το ιστορικό των μηνυμάτων, τα αρχεία πολυμέσων και τα δεδομένα τους σε νέες συσκευές. Μπορεί να περιέχουν ευαίσθητα δεδομένα, όπως κείμενο, βίντεο, φωτογραφίες, έγγραφα και πολλά άλλα –όλα σε μη κρυπτογραφημένη μορφή.
Το GravityRAT είναι ενεργό τουλάχιστον από το 2015, αλλά άρχισε να στοχεύει το Android για πρώτη φορά το 2020. Οι SpaceCobra χειριστές του, χρησιμοποιούν το spyware αποκλειστικά και σε λειτουργίες στενής στόχευσης.
Τρέχουσα Android καμπάνια
Το spyware εξαπλώνεται με την ονομασία “BingeChat”, υποτίθεται ότι είναι μια κρυπτογραφημένη εφαρμογή συνομιλίας end-to-end με απλό περιβάλλον εργασίας αλλά προηγμένα χαρακτηριστικά.
Η ESET αναφέρει ότι η εφαρμογή παρέχεται μέσω του “bingechat.net” και ενδεχομένως άλλων domain ή καναλιών διανομής, αλλά η λήψη βασίζεται σε προσκλήσεις, απαιτώντας από τους επισκέπτες να εισάγουν έγκυρα διαπιστευτήρια ή να καταχωρήσουν έναν νέο λογαριασμό.
Ενώ οι εγγραφές είναι προς το παρόν κλειστές, αυτή η μέθοδος τους επιτρέπει μόνο να διανέμουν κακόβουλες εφαρμογές σε στοχευμένα άτομα. Αυτό καθιστά πιο δύσκολο για τους ερευνητές να αποκτήσουν πρόσβαση σε ένα αντίγραφο για ανάλυση.
Η προώθηση κακόβουλων Android APKs σε στόχους είναι μια τακτική που χρησιμοποιήθηκε από τους χειριστές του GravityRAT και πάλι το 2021, χρησιμοποιώντας μια εφαρμογή συνομιλίας με την ονομασία “SoSafe” και, πριν από αυτό, μια άλλη με την ονομασία “Travel Mate Pro”.
Ο Stefaneko διαπίστωσε ότι η εφαρμογή είναι μια trojanized έκδοση του OMEMO IM, μιας νόμιμης εφαρμογής άμεσων μηνυμάτων ανοιχτού κώδικα για Android.
Ψάχνοντας περαιτέρω, ο αναλυτής της ESET διαπίστωσε ότι ο απειλητικός παράγοντας SpaceCobra είχε χρησιμοποιήσει το OMEMO IM ως βάση για μια άλλη ψεύτικη εφαρμογή με την ονομασία “Chatico”, η οποία διανεμήθηκε σε στόχους το καλοκαίρι του 2022 μέσω της πλέον απενεργοποιημένης ιστοσελίδας “chatico.co.uk”.
Δυνατότητες του GravityRAT
Το BingeChat ζητά επικίνδυνα δικαιώματα κατά την εγκατάστασή του στη συσκευή-στόχο, συμπεριλαμβανομένης της πρόσβασης στις επαφές, την τοποθεσία, το τηλέφωνο, τα SMS, την αποθήκευση, τα αρχεία καταγραφής κλήσεων, την κάμερα και το μικρόφωνο.
Πρόκειται για τυπικές άδειες για εφαρμογές άμεσων μηνυμάτων, οπότε είναι απίθανο να κινήσουν υποψίες ή να φανούν μη φυσιολογικές στο θύμα.
Πριν ο χρήστης εγγραφεί στο BingeChat, η εφαρμογή στέλνει αρχεία καταγραφής κλήσεων, λίστες επαφών, μηνύματα SMS, τοποθεσία της συσκευής και βασικές πληροφορίες της συσκευής στον διακομιστή διοίκησης και ελέγχου (C2) ενός απειλητικού φορέα.
Επιπλέον, αρχεία πολυμέσων και εγγράφων jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18 και τύπου crypt32, κλέβονται επίσης.
Οι επεκτάσεις αρχείων “.crypt” αντιστοιχούν στα αντίγραφα ασφαλείας του WhatsApp Messenger που αναφέρθηκαν προηγουμένως.
Ένα άλλο αξιοσημείωτο νέο χαρακτηριστικό του GravityRAT είναι η ικανότητά του να λαμβάνει τρεις εντολές από το C2: “διαγραφή όλων των αρχείων” (μιας συγκεκριμένης επέκτασης), “διαγραφή όλων των επαφών” και “διαγραφή όλων των αρχείων καταγραφής κλήσεων”.
Ενώ οι καμπάνιες της SpaceCobra είναι εξαιρετικά στοχευμένες και συνήθως επικεντρώνονται στην Ινδία, όλοι οι χρήστες Android θα πρέπει να αποφεύγουν τη λήψη APK εκτός του Google Play και να είναι προσεκτικοί με τα επικίνδυνα αιτήματα άδειας κατά την εγκατάσταση οποιασδήποτε εφαρμογής.
Πηγή: bleepingcomputer.com