קבוצת התקיפה שמנסה לגנוב גיבויי וואטספ

למאמר הבא
ESET

מחקר חדש של חוקרי ESET חושף גרסה משודרגת של הרוגלה GravityRAT (בגרסה המיועדת למערכות Android) שמופצת ומתחזה לאפליקציות המסרים BingeChat ו-Chatico. GravityRAT היא כלי להשתלטות מרחוק ששימש בעבר כחלק ממתקפות ממוקדות כנגד משתמשים בהודו. לנוזקה יש גרסאות למערכות ההפעלה Windows, Android ו-macOS. נכון להיום, עדיין לא ידוע מי עומד מאחורי GravityRAT;

גוף המחקר של ESET עוקב אחרי הקבוצה המוכרת בשם SpaceCobra. קמפיין BingeChat, שככל הנראה החל לפעול באוגוסט 2022, עדיין פעיל. בקמפיין שהתגלה לאחרונה, נוזקת GravityRAT יכולה להדליף גיבויי WhatsApp ולקבל פקודות למחיקת קבצים. האפליקציות הזדוניות מספקות יכולות צ׳ט לגיטימיות המבוססות על אפליקציית הקוד-פתוח OMEMO Instant Messenger.

ממש כמו בקמפיינים הקודמים של SpaceCobra, קמפיין Chatico כוון למשתמש בהודו. אפליקציית BingeChat מופצת דרך אתר אינטרנט שדורש הרשמה, וסביר להניח שהוא נפתח רק כשהתוקפים מצפים לכניסה של קורבנות ספציפיים, כשהסינון עשוי לפעול על בסיס כתובת IP ספציפית, מיקום גיאוגרפי, כתובת URL ספציפית לגישה לאתר, או טווח זמנים מסוים. בכל מקרה, נראה שהקמפיין מכוון למטרות ספציפיות מאוד.

״איתרנו אתר אינטרנט שאמור להוביל להורדת האפליקציה הזדונית לאחר לחיצה על כפתור ׳הורדה׳; אולם, הוא דרש מהמבקרים להתחבר אליו עם שם משתמש וסיסמה. לא היה לנו משתמש באתר, וההרשמה הייתה סגורה. סביר להניח שמפעילי האתר פותחים את ההרשמה רק כשהם מצפים לביקור של קורבן ספציפי, כשהסינון עשוי לפעול על בסיס כתובת IP ספציפית, מיקום גיאוגרפי, כתובת URL ספציפית לגישה לאתר, או טווח זמנים מסוים״, אומר לוקאס סטפנקו, חוקר ESET שחקר את האפליקציות הזדוניות. ״אמנם לא הצלחנו להוריד את אפליקציית BingeChat דרך האתר, אך הצלחנו למצוא קישור להפצת האפליקציה ב-VirusTotal״, הוא מוסיף. האפליקציה הזדונית מעולם לא הייתה זמינה להורדה בחנות האפליקציות Google Play.

למחלקת המחקר של ESET אין פרטים בנוגע לכמות הקורבנות הפוטנציאלים שהובלו לאתר במרמה (או גילו אותו). אם ניקח בחשבון שהורדת התוכנה דורשת חשבון, ושההרשמה להקמת חשבון חדש הייתה סגורה במהלך המחקר, ב-ESET מאמינים שהמתקפה הייתה מכוונת לקורבנות ספציפיים.

עדיין לא ידוע מי הקבוצה העומדת מאחורי הנוזקה, אך חוקרי פייסבוק מצאו קשר בין GravityRAT ובין קבוצה הנמצאת בפקיסטן, בהתאם להשערה שהועלתה בעבר ע״י Cisco Talos. ESET עוקבת אחרי הקבוצה ונתנה לה את השם SpaceCobra, ומשייכת את קמפייני BingeChat ו-Chatico לקבוצה הזו.

כחלק מהפונקציונליות הלגיטימית של האפליקציה, היא מספקת אפשרות ליצירת חשבון והתחברות. לפני שהמשתמש מתחבר לחשבון שלו באפליקציה, GravityRAT מתחילה ליצור קשר עם שרת השליטה והבקרה שלה, מדליפה אליו את נתוניו של המשתמש ומחכה לקבלת הוראות לביצוע. רוגלת GravityRAT מסוגלת להדליף את יומני השיחות, רשימת אנשי הקשר, הודעות SMS, מיקום גיאוגרפי, מידע בסיסי על המכשיר, וקבצים עם סיומות ספציפיות המתאימות לתמונות וקבצים. לגרסה הזו של GravityRAT נוספו שני עדכונים קטנים לעומת הגרסאות הקודמות המוכרות של GravityRAT: הדלפת גיבויי WhatsApp וקבלת פקודות למחיקת קבצים.