Neuer Android GravityRAT zielt auf WhatsApp-Backups
Sicherheitsforscher von ESET haben eine aktualisierte Version der Android-Spionagesoftware GravityRAT entdeckt, die sich nun auf die Infiltration von WhatsApp-Backups konzentriert.
GravityRAT, ein Trojaner für den Fernzugriff, tauchte erstmals im Jahr 2015 auf und ist seitdem eine anhaltende Bedrohung. Er ermöglicht es Hackern, Fernzugriff auf kompromittierte Geräte zu erlangen und verschiedene Arten sensibler Daten zu extrahieren, darunter Anrufprotokolle, Kontakte, Nachrichten, Standorte, Fotos, Videos und Dokumente. GravityRAT ist zwar mit Windows-, Android- und macOS-Plattformen kompatibel, doch die wahren Ursprünge von GravityRAT und die Identität der Gruppe, die für seine Entwicklung verantwortlich ist, bekannt als SpaceCobra, sind noch nicht bekannt.
Die neueste Variante von GravityRAT, die von ESET aufgedeckt wurde, hat es speziell auf WhatsApp-Backups abgesehen, um sich unbefugt Zugang zu verschaffen. Durch die Ausnutzung von Schwachstellen in der beliebten Messaging-Plattform zielt die Malware darauf ab, eine Fülle von persönlichen Informationen von ahnungslosen Opfern zu extrahieren. Um ihre bösartigen Aktivitäten zu erleichtern, haben die Betreiber der Malware die Messaging-Apps BingeChat und Chatico als Verbreitungsmedium umfunktioniert. Diese Apps werden genutzt, um die bösartige Nutzlast zu verbreiten und gleichzeitig ihre wahren Absichten zu verschleiern.
Die trojanisierte BingeChat-App, die so gestaltet ist, dass sie einem legitimen Messaging- und File-Sharing-Dienst ähnelt, kann von einer speziellen Website heruntergeladen werden. Die Chatico-App, die früher aktiv war, ist dagegen nicht mehr in Betrieb. Die Kampagne scheint sehr zielgerichtet zu sein, da die Angreifer erwarten, dass bestimmte Opfer die Website auf der Grundlage von Faktoren wie IP-Adresse, geografische Lage, benutzerdefinierte URL oder bestimmte Zeiträume besuchen.
Nach erfolgreicher Kompromittierung extrahiert die Malware unverschlüsselte WhatsApp-Backup-Dateien und gewährt den Angreifern vollständigen Zugriff auf die Nachrichten, Fotos, Videos, Dokumente und andere in der Backup-Datei gespeicherten Medienelemente des Benutzers. ESET hat eine Warnung herausgegeben, die besagt, dass die App über "bingechat[.]net" und möglicherweise andere Domänen oder Vertriebskanäle verbreitet wird. Der Zugriff auf den Download ist jedoch einladungsbasiert, was es für Forscher schwierig macht, Kopien für die Analyse zu erhalten.
Die Betreiber von GravityRAT haben immer wieder Chat-Apps verwendet, um ihre bösartigen Nutzdaten zu verbreiten. In früheren Fällen nutzten sie Apps wie "SoSafe" und "Travel Mate Pro", um bösartige Android-APKs zu verbreiten. Die Analyse von ESET hat außerdem ergeben, dass die trojanisierte BingeChat-App in Wirklichkeit eine modifizierte Version von OMEMO IM ist, einer legitimen Open-Source-Instant-Messenger-App für Android. Diese Verbindungen zwischen GravityRAT, OMEMO IM und der gefälschten App namens "Chatico" verdeutlichen die ausgefeilten Taktiken der SpaceCobra-Gruppe.
Zu den Quellen für diesen Artikel gehört ein Artikel im InfoSecurityMagazine.