{"id":4972,"date":"2023-06-19T18:03:09","date_gmt":"2023-06-19T16:03:09","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4972"},"modified":"2023-06-19T18:03:09","modified_gmt":"2023-06-19T16:03:09","slug":"gravityrat-krade-whatsapp-rezervne-kopije","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/06\/19\/gravityrat-krade-whatsapp-rezervne-kopije\/","title":{"rendered":"GravityRAT krade WhatsApp rezervne kopije"},"content":{"rendered":"

Sigurnosni istra\u017eiva\u010di su otkrili nedavno a\u017euriranu verziju Android GravityRAT<\/em> \u0161pijunskog softvera koja se \u0161iri kroz aplikacije za razmjenu poruka pod nazivom BingeChat<\/em> i Chatico<\/em>. GravityRAT<\/em> je alatka za daljinski pristup koja se koristi od najmanje 2015. godine, a i ranije je kori\u0161tena u ciljanim napadima na Indiju. Dostupne su Windows<\/em>, Android<\/em> i macOS<\/em> verzije ovog \u0161pijunskog softvera koje su dokumentovana od strane razli\u010ditih sigurnosnih istra\u017eiva\u010da. Ipak, grupa odgovorna za GravityRAT<\/em>, samo je interno poznata kao SpaceCobra <\/em>i nema \u010dvrstih znakova identifikacije.<\/span><\/p>\n

\"GravityRAT\"

GravityRAT krade WhatsApp rezervne kopije; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n

Pozadina<\/strong> kampanje<\/strong><\/span><\/h2>\n

Kampanja BingeChat<\/em>, koja je vjerovatno po\u010dela u avgustu 2022, i dalje je aktivna, dok Chatico<\/em> kampanja vi\u0161e ne funkcioni\u0161e. BingeChat<\/em> se distribuira preko Internet stranice koja ogla\u0161ava besplatne usluge za razmjenu poruka. Naro\u010dito, najnovija kampanja koja uklju\u010duje GravityRAT<\/em> omogu\u0107ava \u0161pijunskom softveru da preuzme WhatsApp<\/em> rezervne kopije i prima komande za brisanje datoteka. \u0160tavi\u0161e, zlonamjerne aplikacije nude legitimnu funkciju c\u0301askanja zasnovanu na aplikaciji otvorenog k\u00f4da OMEMO Instant Messenger<\/em>.<\/span><\/p>\n

Zlonamjerna aplikacija, ozna\u010dena kao BingeChat<\/em> koja tvrdi da pru\u017ea usluge razmjene poruka, identifikovana je na osnovu naziva APK<\/em> datoteke. Otkrivena je Internet lokacija bingechat[.]net<\/em>, na kojoj je ovaj uzorak mogao da se preuzme, ali pristup aplikaciji zahtijevao je prijavljivanje, a registracija je zatvorena. Vrlo vjerovatno da se registracije otvaraju samo kada operateri predvide posjetu odre\u0111ene \u017ertve, potencijalno na osnovu njihove IP<\/em> adrese, geolokacije, prilago\u0111ene Internet povezice ili u odre\u0111enom vremenskom okviru. Zbog toga, istra\u017eiva\u010di vjeruju da su potencijalne \u017ertve visokog profila.<\/span><\/p>\n

 <\/p>\n

Distribucija<\/strong><\/span><\/h3>\n

Iako sigurnosni istra\u017eiva\u010di nisu mogli preuzeti softver direktno sa Internet lokacije, oni su na platformi VirusTotal<\/em> prona\u0161li zlonamjernu BingeChat<\/em> Android<\/em> aplikaciju zapakovanu u BingeChat.zip<\/em> datoteku. Upore\u0111uju\u0107i ovaj uzorak sa drugim dostupnim informacijama, do\u0161li su do zaklju\u010dka da je adresa sa koje je izvr\u0161eno slanje uzorka na VirusTotal<\/em> ujedno i adresa koja slu\u017ei kao ta\u010dka distribucije za ovaj specifi\u010dni GravityRAT<\/em> uzorak.<\/span><\/p>\n

Na ovo upu\u0107uje i domena bingechat[.]net<\/em>, \u0161to sugeri\u0161e njenu upotrebu u svrhe distribucije, a treba spomenuti da aplikacija nikada nije bila dostupna u Google<\/em> Play<\/em> prodavnici. Umjesto toga, maskira se kao modifikovana verzija legitimne Android<\/em> aplikacije otvorenog koda OMEMO Instant Messenger<\/em>, ali je nazvana BingeChat<\/em>.<\/span><\/p>\n

Napada\u010di koji se kriju iza ove nove GravityRAT<\/em> kampanje su ulo\u017eili dosta truda da prevare svoje potencijalne mete, pa se tako predstavljaju kako \u017eene koje \u017eele da uspostave romanti\u010dnu vezu, kao regruti za kompanije i vlade kako bi poku\u0161ali da namame potencijalne \u017ertve da instaliraju zlonamjerne aplikacije za c\u0301askanje koje \u0107e izvr\u0161iti infekciju njihovih ure\u0111aja ovim zlonamjernim softverom.<\/span><\/p>\n

 <\/p>\n

\u201cOva grupa je koristila fiktivne li\u010dnosti \u2014 predstavljaju\u0107i se kao regruti za legitimne i la\u017ene odbrambene kompanije i vlade, vojno osoblje, novinarke i \u017eene koje \u017eele da uspostave romanti\u010dnu vezu \u2014 u poku\u0161aju da se izgradi povjerenje sa ljudima koje su ciljali.\u201d<\/em><\/span><\/p>\n

\u00a0<\/em><\/span>– <\/em>Meta, Quarterly Adversarial Threat Report<\/em><\/a> –<\/em><\/span><\/p>\n<\/blockquote>\n

 <\/p>\n

Funkcionisanje<\/strong><\/span><\/h4>\n

Nakon instalacije BingeChat<\/em> zahteva rizi\u010dne dozvole na ciljnom ure\u0111aju, uklju\u010duju\u0107i pristup kontaktima, lokaciji, telefonu, SMS<\/em> porukama, skladi\u0161tu, evidenciji poziva, kameri i mikrofonu. Sa druge strane, sve ovo su standardne dozvole za aplikacije za razmjenu trenutnih poruka, tako da je malo vjerovatno da \u0107e izazvati sumnju ili izgledati neuobi\u010dajeno za \u017ertvu.<\/span><\/p>\n

Pre nego \u0161to se korisnik registruje u BingeChat<\/em> aplikaciji, aplikacija \u0161alje evidencije poziva, liste kontakata, SMS<\/em> poruke, lokaciju ure\u0111aja i osnovne informacije o ure\u0111aju na komandni i kontrolni server (C2)<\/em> zlonamjernog napada\u010da. Pored toga, datoteke medija i dokumenata jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18<\/em> i crypt32<\/em> tipovi, tako\u0111e su ukradeni. Ekstenzije \u0161ifrovanih datoteka odgovaraju rezervnim kopijama WhatsApp<\/em> Messenger<\/em>.<\/span><\/p>\n

Jo\u0161 jedna va\u017ena funkcionalnost GravityRAT<\/em> softvera je mogu\u0107nost dobijanja tri komande od komandno kontrolnog servera:<\/span><\/p>\n

 <\/p>\n