Küberturvalisuse ettevõte ESET on analüüsinud Android GravityRAT nuhkvara uuendatud versiooni, mis varastab WhatsAppi varufaile ja saab vastu võtta käske failide kustutamiseks.
ESET-i teadlased on märganud Android-põhise GravityRAT nuhkvara uuendatud versiooni, mida levitatakse sõnumsiderakendustena BingeChat ja Chatico. India kasutajatele suunatud rünnakutes kasutataval kaugjuurdepääsu tööriistal GravityRAT on Windowsi, Androidi ja macOS-i versioonid. Pole teada, kes on GravityRATi taga; ESET Research jälgib SpaceCobra nime all tuntud rühma. BingeChati kampaania, mis on olnud aktiivne ilmselt alates 2022. aasta augustist, on endiselt pooleli. Äsja avastatud kampaanias suudab GravityRAT tungida WhatsAppi varukoopiatesse ja saada käske failide kustutamiseks. Avatud lähtekoodiga OMEMO Instant Messengeri rakenduses leidub ka pahatahtlikke rakendusi. sohbet See pakub ka funktsionaalsust.
Nagu varem dokumenteeritud SpaceCobra kampaaniad, oli ka Chatico kampaania suunatud kasutajale Indias. Rakendust BingeChat levitatakse veebisaidi kaudu, mis nõuab registreerimist. Tõenäoliselt avaneb rakendus siis, kui ründajad külastavad teatud ohvreid, keda nad ootavad, võib-olla teatud IP-aadressi, geograafilise asukoha, kohandatud URL-i või teatud aja jooksul. Arvatakse, et kampaania on suunatud konkreetsetele sihtmärkidele.
ESET-i teadlane Lukas Stefanko, kes uurib pahavara, ütles:
„Pärast nupu LAADI RAKENDUSALLA puudutamist leidsime veebisaidi, mis saadab pahatahtlikke rakendusi; kuid see nõuab külastajatelt sisselogimist. Meil polnud volikirju ja me ei saanud registreeruda. Usume, et operaatorite registreeringud avanevad ainult siis, kui teatud ohver nad ootavad külastusi, võib-olla teatud IP-aadressi, geograafilise asukoha, kohandatud URL-i kaudu või teatud aja jooksul. Kuigi me ei saanud BingeChati rakendust veebisaidi kaudu alla laadida, leidsime VirusTotalist levitamise URL-i. Pahatahtlikule rakendusele ei pääse Google Play poe kaudu juurde.
Sihtmärgiks on potentsiaalsed ohvrid
ESET Research ei suutnud kindlaks teha, kuidas potentsiaalseid ohvreid meelitati pahatahtlikule veebisaidile sisenema või mis vahenditega nad avastati. Arvestades uurimise käigus, et rakenduse allalaadimise tingimuseks on konto olemasolu ja uue konto registreerimine pole võimalik, usub ESET, et potentsiaalsed ohvrid on konkreetselt suunatud.
Pahavara taga olev grupp jääb teadmata, kuigi Facebooki teadlased on GravityRAT-i sidunud Pakistanis asuva grupiga, nagu Cisco Talos varem ennustas. ESET jälgib seda rühma kui SpaceCobra. BingeChat ja Chatico seovad oma kampaaniad selle grupiga.
Rakenduse seadusliku funktsionaalsuse osana pakutakse konto loomise ja sisselogimise võimalust. Enne kui kasutaja rakendusse sisse logib, suhtleb GravityRAT C&C serveriga, et hakata seadme kasutaja andmeid lekkima ja oodata käskude täitmist. GravityRAT võib tungida kõnelogidesse, kontaktiloenditesse, SMS-sõnumitesse, seadme asukohta, seadme põhiteavet ja konkreetsete laiendustega faile piltide, fotode ja dokumentide jaoks. Sellel GravityRAT-i versioonil on kaks värskendust võrreldes teadaolevate eelmiste GravityRAT-i versioonidega: WhatsAppi varukoopiatesse imbumine ja failide kustutamise käskude saamine.