Android GravityRAT
A GravityRAT legújabb verzióját terjesztő új androidos kártevő-kampány 2022 augusztusa óta zajlik, és megfertőzi a mobileszközöket a BingeChat nevű trójai chat-alkalmazással, amely adatokat próbál meg ellopni az áldozatok eszközeiről. A GravityRAT legújabb verziójában észlelt egyik figyelemre méltó új kiegészítés a WhatsApp biztonsági mentési fájljainak ellopása – jelezte az ESET.
A kémprogram BingeChat néven terjed, és egy végpontok közötti titkosított csevegőalkalmazásként hirdetik egyszerű felülettel, de fejlett funkciókkal.
Az ESET szerint az alkalmazást a bincechat[.]net-en és esetleg más tartományokon vagy terjesztési csatornákon keresztül terjesztik, de a letöltés meghívóalapú, ezért a látogatóknak érvényes hitelesítési adatokat kell megadniuk, vagy új fiókot kell regisztrálniuk. A regisztrációk jelenleg le vannak zárva, ez a módszer csak a rosszindulatú alkalmazások célzott személyek számára történő terjesztését teszi lehetővé.
A BingeChat kockázatos engedélyeket kér a céleszközre történő telepítéskor, beleértve a névjegyekhez, helyhez, telefonhoz, SMS-ekhez, tárhelyhez, hívásnaplókhoz, kamerához és mikrofonhoz való hozzáférést. Ezek szabványos engedélyek az azonnali üzenetküldő alkalmazásokhoz, így nem valószínű, hogy gyanút keltenek, vagy abnormálisnak tűnnek az áldozat számára.
Mielőtt a felhasználó regisztrál a BingeChat szolgáltatásban, az alkalmazás hívásnaplókat, névjegylistákat, SMS-üzeneteket, az eszköz helyét és az alapvető eszközinformációkat küldi a fenyegetettség szereplőjének C2 szerverére. Továbbá a jpg, jpeg, napló, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18 és formátumú média- és dokumentumfájlok crypt32 típusokat is ellopják. A crypt fájlkiterjesztések megfelelnek a WhatsApp Messenger korábban említett biztonsági másolatainak.
A GravityRAT másik figyelemreméltó újdonsága, hogy képes három parancsot fogadni a C2-től, nevezetesen “minden fájl törlése” (meghatározott kiterjesztésű), “összes névjegy törlése” és “összes hívásnapló törlése”.
Míg a SpaceCobra kampányai erősen célzottak, és általában Indiára összpontosítanak, minden Android-felhasználónak kerülnie kell az APK-k letöltését a Google Playen kívülről, és óvatosnak kell lennie a kockázatos engedélykérésekkel az alkalmazások telepítésekor.