技術支援
文件
登錄
聯繫我們
新的Android GravityRAT針對WhatsApp備份
奧班拉·奧佩耶米
實施期間: 2023年6月29 日 - TuxCare專家團隊
ESET的安全研究人員發現了Android GravityRAT間諜軟體的更新版本,該間諜軟體現在專注於滲透WhatsApp備份。
GravityRAT是一種遠端訪問木馬,於2015年首次出現,此後一直是一個持續的威脅。它使駭客能夠遠端訪問受感染的設備,使他們能夠提取各種類型的敏感數據,包括通話記錄、聯繫人、消息、位置、照片、視頻和文檔。雖然與Windows,Android和macOS平臺相容,但GravityRAT的真正起源以及負責創建其的組織SpaceCobra的身份仍未披露。
ESET發現的GravityRAT的最新變種專門針對WhatsApp備份作為未經授權的訪問手段。通過利用流行的消息傳遞平臺中的漏洞,該惡意軟體旨在從毫無戒心的受害者那裡提取大量個人資訊。為了促進他們的惡意活動,惡意軟體的運營商已將消息傳遞應用程式BingeChat和Chatico重新用作分發工具。這些應用程式被用來傳播惡意負載,同時掩蓋其真實意圖。
木馬化的BingeChat應用程式,旨在類似於合法的消息傳遞和檔共享服務,可以從專用網站下載。另一方面,曾經活躍的Chatico應用程式不再運行。該活動似乎具有高度針對性,攻擊者希望特定受害者根據IP位址、地理位置、自定義URL或特定時間範圍等因素訪問該網站。
成功入侵後,惡意軟體會提取未加密的WhatsApp備份文件,從而授予攻擊者對存儲在備份檔中的使用者消息,照片,視頻,文檔和其他媒體項的完全訪問許可權。ESET 已發出警告,指出該應用程式是通過“bingechat[.] 交付的。淨“以及潛在的其他域或分銷管道。然而,對下載的訪問是基於邀請的,這使得研究人員很難獲得副本進行分析。
GravityRAT的運營商已經展示了使用聊天應用程式傳播其惡意負載的一致模式。在以前的情況下,他們利用「SoSafe」和「Travel Mate Pro」等應用程式來推廣惡意的Android APK。ESET的分析還顯示,木馬化的BingeChat應用程式實際上是OMEMO IM的修改版本,OMEMO IM是Android的合法開源即時通訊應用程式。GravityRAT,OMEMO IM和名為“Chatico”的假冒應用程式之間的這些聯繫說明瞭SpaceCobra集團採用的複雜策略。
這篇文章的來源包括 InfoSecurity雜誌上的一篇文章。
