Компанія ESET виявила оновлену версію шпигунського програмного забезпечення GravityRAT для Android, яке поширюється під виглядом програм для спілкування BingeChat та Chatico.
GravityRAT — це інструмент віддаленого доступу, який раніше вже використовувався для цілеспрямованих атак на користувачів. Загроза має версії для Windows, Android та macOS. Ймовірно, що BingeChat активний з серпня 2022 року.
Які функції має загроза та як вона поширюється?
Нещодавно виявлена загроза GravityRAT може перехоплювати резервні копії WhatsApp та отримувати команди для видалення файлів. Крім того, загроза здатна перехоплювати журнали викликів, список контактів, SMS-повідомлення, місцезнаходження пристрою, загальну інформацію про пристрій та файли зі спеціальними розширеннями для зображень, а також фотографії та документи.
При цьому шкідлива програма володіє функціями обміну повідомленнями на базі відкритого додатка OMEMO Instant Messenger, зокрема жертва може створити обліковий запис та увійти в систему. Перш ніж жертва увійде в програму, GravityRAT починає взаємодіяти з командним сервером, викрадаючи дані користувача та чекаючи на виконання команд.
Додаток BingeChat розповсюджується через вебсайт, який потребує реєстрації, тому ймовірно він відкритий лише тоді, коли зловмисникам цікаві конкретні жертви. У будь-якому випадку існує велика ймовірність, що атаки цілеспрямовані.
Коментар спеціаліста
«Ми знайшли вебсайт, який має завантажити шкідливу програму після натискання відповідної кнопки. Однак для цього відвідувачам потрібно увійти в обліковий запис. У нас не було облікових даних, а реєстрація була недоступна. Найімовірніше, що зловмисники відкривають реєстрацію лише тоді, коли вони чекають конкретного користувача, можливо, з певною IP-адресою, геолокацією, URL-адресою або протягом певного періоду часу, — коментує Лукаш Штефанко, дослідник компанії ESET. — Хоч і завантажити додаток BingeChat через вебсайт не вдалося, наші спеціалісти змогли знайти URL-адресу на VirusTotal».
Варто зазначити, що шкідлива програма недоступна в офіційному магазині Google Play.
Виявити, як саме потенційні жертви потрапляли на шкідливий вебсайт, не вдалося. Враховуючи, що завантаження програми залежить від наявності облікового запису, а реєстрація нового акаунту була неможливою під час дослідження, спеціалісти ESET вважають, що потенційні жертви були спеціально направлені на цей ресурс.
Фахівці ESET припускають, що за шкідливу діяльність GravityRAT відповідає група SpaceCobra.
Кіберзлочинці, які відповідальні за це шкідливе програмне забезпечення, залишаються невідомими, хоча дослідники Facebook відносять GravityRAT групі у Пакистані, що раніше також припускала компанія Cisco Talos. Спеціалісти ESET припускають, що за шкідливу діяльність за допомогою BingeChat та Chatico відповідальна група SpaceCobra.
Як захиститися від подібних шпигунських програм?
-
Завантажуйте додатки лише з офіційних магазинів, такі як Google Play, оскільки ймовірність завантажити шкідливі програми з таких ресурсів мінімальна.
-
Не переходьте за невідомими посиланнями, надісланими через повідомлення в соцмережах або електронних листах. Таким чином зловмисники можуть заманити вас на шкідливий сайт або приховано завантажити загрозу на ваш пристрій.
-
Використовуйте рішення для мобільних пристроїв, яке захищає від різних загроз, включно з вірусами, троянами та фішинг-атаками.