Компания ESET — лидер в области информационной безопасности — обнаружила обновленную версию шпионского программного обеспечения GravityRAT для Android, которое распространяется под видом программ для общения BingeChat и Chatico.
GravityRAT — инструмент удаленного доступа, который ранее уже использовался для целенаправленных атак на пользователей. Угроза имеет версии для Windows, Android и MacOS. Вероятно, что BingeChat активен с августа 2022 года.
Какими функциями обладает угроза и как она распространяется?
Недавно обнаруженная угроза GravityRAT может перехватывать резервные копии WhatsApp и получать команды для удаления файлов. Кроме того, угроза способна перехватывать журналы вызовов, список контактов, SMS-сообщения, местоположение устройства, общую информацию об устройстве и файлы со специальными расширениями для изображений, а также фотографии и документы.
При этом вредоносная программа обладает функциями обмена сообщениями на базе открытого приложения OMEMO Instant Messenger, в частности, жертва может создать учетную запись и войти в систему. Прежде чем жертва войдет в программу, GravityRAT начинает взаимодействовать с командным сервером, похищая данные пользователя и ожидая выполнения команд.
Приложение BingeChat распространяется через веб-сайт, который требует регистрацию, поэтому вероятно оно открыто только тогда, когда злоумышленникам интересны конкретные жертвы. В любом случае существует большая вероятность, что атаки являются целенаправленными.
«Мы нашли веб-сайт, который должен загрузить вредоносную программу после нажатия соответствующей кнопки. Однако для этого посетителям нужно войти в аккаунт. У нас не было учетных данных, а регистрация была недоступна. Скорее всего, злоумышленники открывают регистрацию только тогда, когда они ждут конкретного пользователя, возможно, с определенным IP-адресом, геолокацией, URL-адресом или в течение определенного периода времени, — комментирует исследователь компании ESET Лукаш Штефанко. — Хотя загрузить приложение BingeChat через веб-сайт не удалось, наши специалисты смогли найти URL на VirusTotal».
Следует отметить, что вредоносная программа недоступна в официальном магазине Google Play.
Обнаружить, как именно потенциальные жертвы попадали на вредоносный веб-сайт, не удалось. Учитывая, что загрузка программы зависит от наличия учетной записи, а регистрация нового аккаунта была невозможна во время исследования, специалисты ESET считают, что потенциальные жертвы были специально направлены на этот ресурс.
Киберпреступники, ответственные за это вредоносное программное обеспечение, остаются неизвестными, хотя исследователи Facebook относят GravityRAT группе в Пакистане, что ранее также предполагала компания Cisco Talos. Специалисты ESET предполагают, что за вредоносную деятельность с помощью BingeChat и Chatico ответственна группа SpaceCobra.
Как защититься от подобных шпионских программ?
1. Загружайте приложения только из официальных магазинов, таких как Google Play, поскольку вероятность загрузки вредоносных программ с таких ресурсов минимальна.
2. Не переходите по неизвестным ссылкам, отправленными через сообщения в соцсетях или электронных письмах. Таким образом, злоумышленники могут заманить вас на вредоносный сайт или скрыто загрузить угрозу на ваше устройство.
3. Используйте решение для мобильных устройств, которое защищает от различных угроз, включая вирусы, трояны и фишинг-атаки.
О том, как отличить вредоносное приложение от безопасного и вовремя удалить его, читайте по ссылке.