- Výskumníci spoločnosti ESET odhalili novú verziu špionážneho softvéru Android GravityRAT, ktorý je distribuovaný v rámci škodlivých aplikácií BingeChat a Chatico. Ide o skompromitované verzie legitímnej open-source aplikácie OMEMO Instant Messenger pre Android.
- Skompromitovaná aplikácia BingeChat je dostupná na stiahnutie z webovej stránky, ktorá ju prezentuje ako bezplatnú službu na posielanie správ a zdieľanie súborov.
- Táto verzia spyvéru GravityRAT je rozšírená o dve nové schopnosti: prijímanie príkazov na vymazanie súborov a exfiltráciu záložných súborov aplikácie WhatsApp.
- Kybernetická kampaň je veľmi pravdepodobne úzko cielená. Rovnako ako v prípade predtým zdokumentovaných kampaní skupiny SpaceCobra sa kampaň Chatico zamerala na používateľa v Indii.
Výskumníci spoločnosti ESET odhalili aktualizovanú verziu špionážneho softvéru GravityRAT pre OS Android, ktorý je distribuovaný v prestrojení za aplikácie na zasielanie správ BingeChat a Chatico. GravityRAT je nástroj na vzdialený prístup, ktorý sa predtým používal pri cielených útokoch na používateľov v Indii. K dispozícii sú verzie pre systémy Windows, Android a macOS. Útočníci stojaci za spyvérom GravityRAT zostávajú neznámi, ESET v tejto súvislosti sleduje aktivitu skupiny známej ako SpaceCobra. Kampaň BingeChat je s najväčšou pravdepodobnosťou aktívna od augusta 2022 a stále prebieha. V novoobjavenej kampani dokáže GravityRAT exfiltrovať zálohy aplikácie WhatsApp a prijímať príkazy na vymazanie súborov. Škodlivé aplikácie poskytujú aj legitímne funkcie chatu založené na open-source aplikácii OMEMO Instant Messenger.
Rovnako ako v prípade predtým zdokumentovaných kampaní SpaceCobra sa kampaň Chatico zameriavala na používateľa v Indii. Aplikácia BingeChat je distribuovaná prostredníctvom webovej stránky, ktorá vyžaduje registráciu a pravdepodobne sa otvorí len vtedy, keď útočníci očakávajú návštevu konkrétnych obetí, prípadne používateľov s konkrétnou IP adresou, geolokáciou, vlastnou URL alebo v konkrétnom časovom rámci. V každom prípade je veľmi pravdepodobné, že kampaň je vysoko cielená.
„Našli sme webovú stránku, ktorá má poskytnúť škodlivú aplikáciu po kliknutí na tlačidlo DOWNLOAD APP. Od návštevníkov však vyžaduje prihlásenie. Nemali sme prihlasovacie údaje a registrácia bola uzavretá. Je veľmi pravdepodobné, že prevádzkovatelia otvárajú registráciu len vtedy, keď očakávajú návštevu konkrétnej obete, prípadne s konkrétnou IP adresou, geolokáciou, vlastnou URL adresou alebo v konkrétnom čase,“ hovorí výskumník spoločnosti ESET Lukáš Štefanko, ktorý škodlivé aplikácie skúmal. „Hoci sa nám nepodarilo stiahnuť aplikáciu BingeChat cez webovú stránku, na VirusTotal sa nám podarilo nájsť distribučnú URL adresu,“ dodáva. Škodlivá aplikácia nebola nikdy sprístupnená v obchode Google Play.
Výskumníci spoločnosti ESET nemajú informácie o tom, ako boli potenciálne obete nalákané na škodlivú webovú stránku alebo ako ju objavili. Vzhľadom na to, že stiahnutie aplikácie je podmienené založeným účtom a registrácia nového účtu nebola počas analýzy možná, ESET sa domnieva, že útočnici sa zamerali na špecificky vybrané ciele.
Útočníci stojaci za malvérom zostávajú neznámi, aj keď výskumníci Facebooku pripisujú GravityRAT skupine so sídlom v Pakistane, ako už skôr uviedla spoločnosť Cisco Talos. ESET sleduje škodlivú aktivitu skupiny pod názvom SpaceCobra a pripisuje jej kampane BingeChat aj Chatico.
V rámci svojich legitímnych funkcií aplikácia poskytuje možnosti vytvorenia účtu a prihlásenia. Predtým, ako sa používateľ prihlási do aplikácie, začne spyvér GravityRAT komunikovať so svojím riadiacim serverom, exfiltruje údaje používateľa zariadenia a čaká na vykonanie príkazov. GravityRAT dokáže vynášať záznamy o hovoroch, zoznam kontaktov, SMS správy, polohu zariadenia, základné informácie o zariadení a súbory so špecifickými formátmi pre obrázky, fotografie a dokumenty. Táto verzia GravityRAT má v porovnaní s predchádzajúcimi, verejne známymi verziami GravityRAT dve menšie aktualizácie: exfiltráciu záloh aplikácie WhatsApp a prijímanie príkazov na odstránenie súborov.
Viac technických informácií sa dočítate v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie odhalenia výskumníkov spoločnosti ESET nájdete na Twitteri ESET Research.
O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.