Novi opasni Android malware krade vaše WhatsApp backupe

Nova kampanja širenja Android malvera koji nosi naziv GravityRAT, započeta je u avgustu 2022. godine i zaraza mobilnih uređaja se vrši putem trojanizovane aplikacije za četovanje pod nazivom 'BingeChat', koja pokušava da ukrade podatke sa uređaja žrtava.

Prema istraživanju ESET-a koje je obavio istraživač Lukas Stefanko, nakon što je dobio informaciju od MalwareHunterTeam-a, jedno od značajnijih dodataka u najnovijoj verziji GravityRAT-a je krađa rezervnih kopija WhatsApp-a.

Rezervne kopije WhatsApp-a kreiraju se kako bi korisnici mogli preneti svoju istoriju poruka, medijske fajlove i podatke na nove uređaje, pa mogu sadržati osetljive podatke poput tekstova, video snimaka, fotografija, dokumenata i drugog, sve u nešifrovanoj formi.

GravityRAT je aktivan barem od 2015. godine, ali je prvi put počeo ciljati Android uređaje 2020. godine. Njegovi operateri, 'SpaceCobra', koriste ovaj špijunski softver isključivo u uskim ciljanim operacijama.

Malver se širi pod imenom 'BingeChat', navodno kao aplikacija za četovanje sa krajnje do krajnje enkripcijom i jednostavnim interfejsom, ali naprednim funkcijama.

ESET navodi da se aplikacija distribuira putem "bingechat[.]net" domena, kao i moguće korišćenje drugih domena ili kanala distribucije, ali preuzimanje je moguće samo uz pozivnicu, zahtevajući od posetilaca da unesu ispravne pristupne podatke ili se registruju za novi nalog.



Iako su trenutno zatvorene registracije, ovaj metod im omogućava da distribuiraju zlonamerne aplikacije samo ciljanim osobama. Takođe, otežava pristup kopiji aplikacije za analizu istraživačima.

Promovisanje zlonamernih Android APK datoteka ciljnoj grupi je taktika koju su operateri GravityRAT-a koristili i 2021. godine, koristeći aplikaciju za četovanje pod nazivom 'SoSafe', a pre toga još jednu pod nazivom 'Travel Mate Pro'.

Stefanko je otkrio da je aplikacija trojanizovana verzija OMEMO IM, legitimne open-source aplikacije za instant poruke namenjene za Android uređaje.



Daljim istraživanjem, analitičar ESET-a je otkrio da je SpaceCobra koristio OMEMO IM kao osnovu za još jednu lažnu aplikaciju pod nazivom "Chatico", koja je distribuirana ciljanim osobama tokom leta 2022. godine putem sada neaktivnog domena "chatico.co[.]uk".

BingeChat zahteva dozvole koje predstavljaju rizik pri instalaciji na uređaju žrtve, uključujući pristup kontaktima, lokaciji, telefonu, SMS porukama, skladištu, evidenciji poziva, kameri i mikrofonu.

Ove dozvole su standardne za aplikacije za instant poruke, pa je malo verovatno da će izazvati sumnju ili delovati neobično žrtvi.

Pre nego što korisnik se registruje na BingeChat, aplikacija šalje evidenciju poziva, listu kontakata, SMS poruke, lokaciju uređaja i osnovne informacije o uređaju na serversku infrastrukturu kontrole i upravljanja pretnjom.

Dodatno, kradu se i medijski i dokument fajlovi sa ekstenzijama jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18 i crypt32.

Ekstenzije crypt fajlova odgovaraju rezervnim kopijama WhatsApp Messenger-a pomenutim ranije.

Još jedna značajna novina kod GravityRAT-a je sposobnost primanja tri komande od serverske infrastrukture kontrole i upravljanja, a to su "obriši sve fajlove" (određene ekstenzije), "obriši sve kontakte" i "obriši sve evidencije poziva".

Iako su kampanje SpaceCobra visoko ciljane i obično se fokusiraju na Indiju, svi korisnici Android uređaja trebaju izbegavati preuzimanje APK datoteka izvan Google Play prodavnice i biti oprezni pri davanju dozvola koje predstavljaju rizik prilikom instaliranja bilo koje aplikacije.

Kategorija: Bezbednost widget