ESET 研究人員近期發現,一種名為 Android GravityRAT 的間諜軟件已經更新,並以即時通訊應用程式 BingeChat 和 Chatico 的形式散播。GravityRAT 是一種遠端存取工具,自 2015 年以來就被確定用於針對印度的特定攻擊。然而,至今我們仍不知道 GravityRAT 的幕後黑手是誰,我們內部將這個團體暫時稱為 SpaceCobra。
值得注意的是,我們最近發現了 GravityRAT 可以偷取 WhatsApp 備份並接收刪除文件的指令,這些惡意應用程式也利用開源應用程式 OMEMO Instant Messenger 提供了合法的聊天功能。
首先,我們發現了一種新版的 Android GravityRAT 間諜軟件,該軟件偽裝成合法的開源 OMEMO Instant Messenger Android 應用程式並進行散播。其次,被植入木馬的 BingeChat 應用程式可以從一個免費網站下載。最後,最新版本的 GravityRAT 增加了兩項新功能:接收刪除檔案的命令和偷取 WhatsApp 備份檔案。
我們不確定受害者是如何被引導,或是如何發現這個惡意網站的。考慮到下載該應用程式需要有帳號,而我們又無法註冊新帳號,我們認為潛在的受害者可能是特定的目標。
GravityRAT分配機制
至於受害者的情況,根據 ESET 的遙測數據,我們並未發現有任何 BingeChat 活動的受害者,這進一步暗示這個活動可能只針對特定的目標。然而,我們的遙測數據在 2022 年 6 月確實偵測到印度一個 Android GravityRAT 的樣本,GravityRAT 則是以 Chatico 的形式出現。
總的來說,自 2015年 以來一直活躍的 SpaceCobra,已將 GravityRAT 更新,並增加了額外的功能,從 C&C 伺服器接收刪除檔案的指令,以偷取 WhatsApp Messenger 的備份。就如同以往一樣,這次的活動也利用了即時通訊應用程式的開源項目(OMEMO Instant Messenger)來構建其木馬化的應用程式。尤其需要注意的是,BingeChat 和 Chatico 都沒有出現在 Google Play 商店中,因此使用者應該要格外小心,避免從不受信任的網站下載應用程式。
我們將繼續持續監視這種惡意活動,並將我們的發現分享給公眾,以提高大家的網路安全意識。同時,我們也呼籲所有的 Android 使用者,只從官方商店下載應用程式,並定期更新手機和應用程式,以防止被 GravityRAT 這類的間諜軟件攻擊。