Ново шпионско приложение заплашва Android-потребителите
ESET, водач в региона на осведомителната сигурност, откри актуализирана версия на шпионския програмен продукт GravityRAT за Android, който се популяризира във тип на приложения за другарство, като BingeChat и Chatico.
GravityRAT е инструмент за далечен достъп, който преди е бил употребен за целеви офанзиви против потребителите. Тази опасност има версии за Windows, Android и MacOS. Най-вероятно BingeChat е деен от август 2022 година
Заплахата GravityRAT има редица функционалности и се популяризира по разнообразни способи. Наскоро беше намерено, че може да прихваща архиви на WhatsApp и да получава команди за заличаване на файлове. Заплахата още е в положение да прихваща журналите с позвъняванията, описът с контакти, SMS-съобщенията, местоположението на устройството, обща информация за апарата, файлове със специфични разширения на изображения, както и фотоси и документи.
Зловредният програмен продукт също има функционалности за продан на известия, основани на приложението OMEMO Instant Messenger с отворен код. Преди жертвата да влезе в програмата, GravityRAT стартира да взаимодейства с командния сървър и да краде потребителски данни, изчаквайки командите да бъдат изпълнени.
Приложението BingeChat се популяризира посредством уебсайт, който изисква регистрация, тъй че евентуално е налично единствено за съответни жертви, от които нападателите се интересуват. Във всеки случай има огромна възможност офанзивите да са целенасочени.
„ Намерихме уебсайт, който би трябвало да изтегли злонамерения програмен продукт, откакто щракнете върху съответния бутон. Посетителите обаче би трябвало да са влезнали, с цел да го създадат. Нямахме идентификационни данни и регистрацията не беше налична. Най-вероятно, нападателите отварят регистрация единствено когато чакат съответен консуматор, може би с съответен IP адрес, геолокация, URL-адрес или за избран интервал от време — разяснява откривателят на компанията ESET Лукаш Стефанко. — „ Въпреки че изтеглянето на приложението BingeChat през уеб страницата не беше допустимо, нашият екип съумя да откри URL-адреса във VirusTotal. “
Не беше допустимо да се откри тъкмо по какъв начин евентуалните жертви стигат до злонамерения уебсайт. Като се има поради, че изтеглянето на приложението зависи от съществуването на акаунт, а регистрацията на нов консуматор не беше допустима по време на следствието, специалистите на ESET считат, че евентуалните жертви са били особено пренасочвани към този запас.
Киберпрестъпниците, виновни за този злотворен програмен продукт, остават незнайни. Изследователите на Фейсбук и Cisco Talos обаче свързват GravityRAT с група в Пакистан. В допълнение, специалистите на ESET допускат, че SpaceCobra може да е виновен за злонамерената активност, обвързвана с BingeChat и Chatico.
Трябва да се означи, че зловредният програмен продукт не е разполагаем в формалния магазин на Гугъл Play.
Apple и Гугъл работят интензивно, с цел да разпознават и отстраняват лъжливите приложения от своите магазини. Въпреки всичките им старания, киберпрестъпниците се промъкват през “пукнатините “. За страдание, даже потребните на пръв взор стратегии са рискови.
