GravityRAT krade WhatsApp rezervne kopije
Sigurnosni istraživači su otkrili nedavno ažuriranu verziju Android GravityRAT špijunskog softvera koja se širi kroz aplikacije za razmjenu poruka pod nazivom BingeChat i Chatico. GravityRAT je alatka za daljinski pristup koja se koristi od najmanje 2015. godine, a i ranije je korištena u ciljanim napadima na Indiju. Dostupne su Windows, Android i macOS verzije ovog špijunskog softvera koje su dokumentovana od strane različitih sigurnosnih istraživača. Ipak, grupa odgovorna za GravityRAT, samo je interno poznata kao SpaceCobra i nema čvrstih znakova identifikacije.
Pozadina kampanje
Kampanja BingeChat, koja je vjerovatno počela u avgustu 2022, i dalje je aktivna, dok Chatico kampanja više ne funkcioniše. BingeChat se distribuira preko Internet stranice koja oglašava besplatne usluge za razmjenu poruka. Naročito, najnovija kampanja koja uključuje GravityRAT omogućava špijunskom softveru da preuzme WhatsApp rezervne kopije i prima komande za brisanje datoteka. Štaviše, zlonamjerne aplikacije nude legitimnu funkciju ćaskanja zasnovanu na aplikaciji otvorenog kôda OMEMO Instant Messenger.
Zlonamjerna aplikacija, označena kao BingeChat koja tvrdi da pruža usluge razmjene poruka, identifikovana je na osnovu naziva APK datoteke. Otkrivena je Internet lokacija bingechat[.]net, na kojoj je ovaj uzorak mogao da se preuzme, ali pristup aplikaciji zahtijevao je prijavljivanje, a registracija je zatvorena. Vrlo vjerovatno da se registracije otvaraju samo kada operateri predvide posjetu određene žrtve, potencijalno na osnovu njihove IP adrese, geolokacije, prilagođene Internet povezice ili u određenom vremenskom okviru. Zbog toga, istraživači vjeruju da su potencijalne žrtve visokog profila.
Distribucija
Iako sigurnosni istraživači nisu mogli preuzeti softver direktno sa Internet lokacije, oni su na platformi VirusTotal pronašli zlonamjernu BingeChat Android aplikaciju zapakovanu u BingeChat.zip datoteku. Upoređujući ovaj uzorak sa drugim dostupnim informacijama, došli su do zaključka da je adresa sa koje je izvršeno slanje uzorka na VirusTotal ujedno i adresa koja služi kao tačka distribucije za ovaj specifični GravityRAT uzorak.
Na ovo upućuje i domena bingechat[.]net, što sugeriše njenu upotrebu u svrhe distribucije, a treba spomenuti da aplikacija nikada nije bila dostupna u Google Play prodavnici. Umjesto toga, maskira se kao modifikovana verzija legitimne Android aplikacije otvorenog koda OMEMO Instant Messenger, ali je nazvana BingeChat.
Napadači koji se kriju iza ove nove GravityRAT kampanje su uložili dosta truda da prevare svoje potencijalne mete, pa se tako predstavljaju kako žene koje žele da uspostave romantičnu vezu, kao regruti za kompanije i vlade kako bi pokušali da namame potencijalne žrtve da instaliraju zlonamjerne aplikacije za ćaskanje koje će izvršiti infekciju njihovih uređaja ovim zlonamjernim softverom.
“Ova grupa je koristila fiktivne ličnosti — predstavljajući se kao regruti za legitimne i lažne odbrambene kompanije i vlade, vojno osoblje, novinarke i žene koje žele da uspostave romantičnu vezu — u pokušaju da se izgradi povjerenje sa ljudima koje su ciljali.”
Funkcionisanje
Nakon instalacije BingeChat zahteva rizične dozvole na ciljnom uređaju, uključujući pristup kontaktima, lokaciji, telefonu, SMS porukama, skladištu, evidenciji poziva, kameri i mikrofonu. Sa druge strane, sve ovo su standardne dozvole za aplikacije za razmjenu trenutnih poruka, tako da je malo vjerovatno da će izazvati sumnju ili izgledati neuobičajeno za žrtvu.
Pre nego što se korisnik registruje u BingeChat aplikaciji, aplikacija šalje evidencije poziva, liste kontakata, SMS poruke, lokaciju uređaja i osnovne informacije o uređaju na komandni i kontrolni server (C2) zlonamjernog napadača. Pored toga, datoteke medija i dokumenata jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18 i crypt32 tipovi, takođe su ukradeni. Ekstenzije šifrovanih datoteka odgovaraju rezervnim kopijama WhatsApp Messenger.
Još jedna važna funkcionalnost GravityRAT softvera je mogućnost dobijanja tri komande od komandno kontrolnog servera:
- delete all files – obriši sve datoteke;
- delete all contacts – obriši sve kontakte;
- delete all call logs – obriši sve zapise poziva;
“Značajno u novoj kampanji, GravityRAT može preuzeti WhatsApp rezervne kopije i primati komande za brisanje datoteka. Zlonamjerne aplikacije takođe pružaju legitimnu funkciju ćaskanja zasnovanu na aplikaciji OMEMO Instant Messenger otvorenog kôda.”
Napadači
Postoje tragovi koji ukazuju da GravityRAT potiče od grupe koja se nalazi u Pakistanu, ali slično kao i u prethodnim špekulacijama, grupa koja stoji iza ovog zlonamjernog softvera nije identifikovana. U internoj komunikaciji koristi se naziv SpaceCobra za ovu grupu i pripisuju im se BingeChat i Chatico kampanje.
Ovakva zlonamjerna funkcionalnost je identifikovana 2020. godine, sa specifičnim dijelom kôda koji se širio preko Windows varijante GravityRAT zlonamjernog softvera. Tokom 2021. godine, sigurnosni istraživači su pronašli slične obrasce kao kod BingeChat zlonamjerne aplikacije, kao što je vektor distribucije maskiran u legitimnu aplikaciju za razmjenu poruka, koja se tada zvala SoSafe Chat, a koristila je OMEMO Instant Messenger kôd sa istom zlonamjernom funkcionalnošću.
Zaštita
Kada je u pitanju zaštita od zlonamjernih aplikacija, uključujući zlonamjerne aplikacije za ćaskanje kao što su BingeChat i Chatico, glavna stvar koju korisnici treba da urade je da izbjegavaju preuzimanje aplikacija iz nepouzdanih izvora.
Za razliku od aplikacija u Google Play prodavnici i drugim zvaničnim prodavnicama aplikacija za Android, aplikacije iz drugim manje pouzdanih izvora ne prolaze kroz iste rigorozne bezbjednosne provjere i često mogu da sadrže zlonamjerni softver ili druge viruse. Takva vrsta instalacije aplikacija nekada može biti zgodna, ali nije vrijedna rizika.
Zaključak
Poznato da je grupa SpaceCobra aktivna najmanje od 2015. godine i da je sada reanimirala GravityRAT sa uključenim proširenim funkcionalnostima za preuzimanje rezervnih kopija WhatsApp Messenger aplikacije i primanje komandi sa komandno kontrolnog servera za brisanje datoteka. Kao i ranije, ova kampanja koristi aplikacije za razmjenu poruka kao masku za distribuciju GravityRAT backdoor zlonamjernog softvera. Grupa koja stoji iza zlonamjernog softvera koristi legitimni OMEMO IM kôd da obezbijedi funkcionalnost ćaskanja za zlonamjerne aplikacije za razmjenu poruka BingeChat i Chatico.