Ažurirana verzija trojanskog konja nazvanog GravityRAT otkrivena je kako se prikriva kao aplikacija za razmjenu poruka BingeChat i Chatico. Trojan je ciljao Android sisteme u vrlo ciljanoj kampanji napada od Lipnja prošle godine.
“Značajno u novo otkrivenoj kampanji je da GravityRAT može izvući WhatsApp sigurnosne kopije i primati naredbe za brisanje datoteka”, rekao je istraživač ESET-a Lukáš Štefanko u novom izvješću objavljenom danas na stranicama ESET-a.
“Zlonamjerne aplikacije također pružaju legitimnu chat funkcionalnost temeljenu na open-source aplikaciji za trenutne poruke OMEMO.”
GravityRAT je naziv za zlonamjeran softver koji može ciljati uređaje s Windows, Android i macOS operativnim sustavima. Slovačka tvrtka za kibernetičku sigurnost prati aktivnosti pod nazivom SpaceCobra.
Sumnja se da je prijetnja bazirana u Pakistanu, a nedavni napadi su prvenstveno ciljali vojno osoblje u Indiji i vojnom zrakoplovstvu Pakistana, pritom se maskirajući kao aplikacije za pohranu u oblaku i zabavu, objavila je Meta prošlog mjeseca.
Korištenje aplikacija za razmjenu poruka kao mamaca za distribuciju zlonamjernog softvera nije novost. Naime, već 2021 Cyble upozorava na ovaj trend prilikom analize uzorka sa “SoSafe Chat” koji je kasnije uploadan u VirusTotal bazu iz Indije.
Aplikacije za razmjenu poruka, iako nisu dostupne na Google Playu, distribuiraju se putem zločudnih web stranica koje promoviraju besplatne usluge razmjene poruka kao bingechat i chatico.
Skupina je koristila fiktivne osobe – predstavljali su se kao recruiter legitimnih i lažnih obrambenih tvrtki i vlada, vojno osoblje, novinari i žene koje traže romantične veze – s ciljem stvaranja povjerenja kod ciljanih osoba. Način djelovanja sugerira da potencijalne mete prvo kontaktiraju putem Facebooka i Instagrama s ciljem da ih uvjere da kliknu na veze i preuzmu zlonamjerne aplikacije.
GravityRAT, kao i većina Android back-door exploita, zahtijeva invazivne dozvole pod krinkom navodno legitimne aplikacije kako bi prikupio osjetljive informacije poput kontakata, SMS poruka, poziva, datoteka, podataka o lokaciji i snimki zvuka bez znanja žrtve.
Prikupljeni podaci konačno se prenose na udaljeni poslužitelj pod kontrolom napadača. Važno je napomenuti da je uporaba aplikacije uvjetovana posjedovanjem korisničkog računa. Ono što čini novu verziju GravityRAT-a posebnom je njegova sposobnost krađe sigurnosnih kopija WhatsAppa i primanja uputa s poslužitelja za naredbu i kontrolu (C2) za brisanje poziva, kontakata i datoteka s određenim ekstenzijama.
“Radi se o vrlo specifičnim naredbama koje se obično ne viđaju u Android malveru”, primijetio je Štefanko. Ova pojava dolazi u vrijeme kada su korisnici Androida u Vijetnamu postali žrtve nove vrste malvera za krađu bankovnih podataka nazvane HelloTeacher, koja koristi legitimne aplikacije za razmjenu poruka poput Vibera ili Kika kao pokriće za izvlačenje osjetljivih podataka i provođenje neovlaštenih prijenosa sredstava zloupotrebom usluga pristupačnosti API-ja.
Cyble je također otkrio obmanu rudarenja u oblaku koja “potiče korisnike da preuzmu zlonamjernu aplikaciju za pokretanje rudarenja”, samo kako bi iskoristila dozvole za usluge pristupačnosti i prikupila osjetljive informacije iz kriptovalutnih novčanika i bankovnih aplikacija. Financijski trojanac, kodnog imena Roamer, primjer je trenda korištenja web stranica za phishing i Telegram kanala kao vektora distribucije, čime se učinkovito proširuje potencijalni krug žrtava.
“Korisnici trebaju biti oprezni i suzdržati se od praćenja sumnjivih kanala za rudarenje kriptovaluta na platformama poput Telegrama, jer ti kanali mogu rezultirati značajnim financijskim gubicima i ugroziti osjetljive osobne podatke”, izjavio je Cyble.
