Výskumníci spoločnosti ESET odhalili aktualizovanú verziu špionážneho softvéru GravityRAT pre OS Android, ktorý je distribuovaný v prestrojení za aplikácie na zasielanie správ BingeChat a Chatico.
V skratke:
- Výskumníci spoločnosti ESET odhalili novú verziu špionážneho softvéru Android GravityRAT, ktorý je distribuovaný v rámci škodlivých aplikácií BingeChat a Chatico. Ide o skompromitované verzie legitímnej open-source aplikácie OMEMO Instant Messenger pre Android.
- Skompromitovaná aplikácia BingeChat je dostupná na stiahnutie z webovej stránky, ktorá ju prezentuje ako bezplatnú službu na posielanie správ a zdieľanie súborov.
- Táto verzia spyvéru GravityRAT je rozšírená o dve nové schopnosti: prijímanie príkazov na vymazanie súborov a exfiltráciu záložných súborov aplikácie WhatsApp.
- Kybernetická kampaň je veľmi pravdepodobne úzko cielená. Rovnako ako v prípade predtým zdokumentovaných kampaní skupiny SpaceCobra sa kampaň Chatico zamerala na používateľa v Indii.
GravityRAT je nástroj na vzdialený prístup, ktorý sa predtým používal pri cielených útokoch na používateľov v Indii. K dispozícii sú verzie pre systémy Windows, Android a macOS. Útočníci stojaci za spyvérom GravityRAT zostávajú neznámi, ESET v tejto súvislosti sleduje aktivitu skupiny známej ako SpaceCobra. Kampaň BingeChat je s najväčšou pravdepodobnosťou aktívna od augusta 2022 a stále prebieha. V novoobjavenej kampani dokáže GravityRAT exfiltrovať zálohy aplikácie WhatsApp a prijímať príkazy na vymazanie súborov. Škodlivé aplikácie poskytujú aj legitímne funkcie chatu založené na open-source aplikácii OMEMO Instant Messenger.
Rovnako ako v prípade predtým zdokumentovaných kampaní SpaceCobra sa kampaň Chatico zameriavala na používateľa v Indii. Aplikácia BingeChat je distribuovaná prostredníctvom webovej stránky, ktorá vyžaduje registráciu a pravdepodobne sa otvorí len vtedy, keď útočníci očakávajú návštevu konkrétnych obetí, prípadne používateľov s konkrétnou IP adresou, geolokáciou, vlastnou URL alebo v konkrétnom časovom rámci. V každom prípade je veľmi pravdepodobné, že kampaň je vysoko cielená.
„Našli sme webovú stránku, ktorá má poskytnúť škodlivú aplikáciu po kliknutí na tlačidlo DOWNLOAD APP. Od návštevníkov však vyžaduje prihlásenie. Nemali sme prihlasovacie údaje a registrácia bola uzavretá. Je veľmi pravdepodobné, že prevádzkovatelia otvárajú registráciu len vtedy, keď očakávajú návštevu konkrétnej obete, prípadne s konkrétnou IP adresou, geolokáciou, vlastnou URL adresou alebo v konkrétnom čase,“ hovorí výskumník spoločnosti ESET Lukáš Štefanko, ktorý škodlivé aplikácie skúmal. „Hoci sa nám nepodarilo stiahnuť aplikáciu BingeChat cez webovú stránku, na VirusTotal sa nám podarilo nájsť distribučnú URL adresu,“ dodáva. Škodlivá aplikácia nebola nikdy sprístupnená v obchode Google Play.
Výskumníci spoločnosti ESET nemajú informácie o tom, ako boli potenciálne obete nalákané na škodlivú webovú stránku alebo ako ju objavili. Vzhľadom na to, že stiahnutie aplikácie je podmienené založeným účtom a registrácia nového účtu nebola počas analýzy možná, ESET sa domnieva, že útočnici sa zamerali na špecificky vybrané ciele.
Útočníci stojaci za malvérom zostávajú neznámi, aj keď výskumníci Facebooku pripisujú GravityRAT skupine so sídlom v Pakistane, ako už skôr uviedla spoločnosť Cisco Talos. ESET sleduje škodlivú aktivitu skupiny pod názvom SpaceCobra a pripisuje jej kampane BingeChat aj Chatico.
V rámci svojich legitímnych funkcií aplikácia poskytuje možnosti vytvorenia účtu a prihlásenia. Predtým, ako sa používateľ prihlási do aplikácie, začne spyvér GravityRAT komunikovať so svojím riadiacim serverom, exfiltruje údaje používateľa zariadenia a čaká na vykonanie príkazov. GravityRAT dokáže vynášať záznamy o hovoroch, zoznam kontaktov, SMS správy, polohu zariadenia, základné informácie o zariadení a súbory so špecifickými formátmi pre obrázky, fotografie a dokumenty. Táto verzia GravityRAT má v porovnaní s predchádzajúcimi, verejne známymi verziami GravityRAT dve menšie aktualizácie: exfiltráciu záloh aplikácie WhatsApp a prijímanie príkazov na odstránenie súborov.
Viac technických informácií sa dočítate v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie odhalenia výskumníokv spoločnosti ESET nájdete na Twitteri ESET Research.
