זהירות: האקרים גונבים גיבויי ווטסאפ ממכשירי אנדרואיד

זוהתה גרסה משודרגת של הרוגלה GravityRAT – בגרסה המיועדת למערכות שבמכשירי אנדרואיד – אשר מתחזה לאפליקציות המסרים BingeChat ו-Chatico. את הרוגלה זיהו חוקרי ESET.

GravityRAT הוא כלי להשתלטות מרחוק, ששימש בעבר במתקפות ממוקדות כנגד משתמשים בהודו. לנוזקה יש גרסאות לכל מערכות ההפעלה הפופולריות.

חוקרי ESET לא ציינו את זהות חברי הקבוצה העומדת מאחורי הנוזקה, אך חוקרי פייסבוק מצאו קשר בין GravityRAT ובין קבוצה הנמצאת בפקיסטן, כפי שגם חוקרי ESET העריכו בעבר. חוקרי סיסקו טאלוס (Cisco Talos) עוקבים אף הם אחרי הקבוצה ונתנו לה את השם SpaceCobra.

קמפיין BingeChat, שככל הנראה החל לפעול באוגוסט 2022, עדיין פעיל. בקמפיין שהתגלה לאחרונה, נוזקת GravityRAT עלולה להדליף גיבויי ווטסאפ (WhatsApp) ולקבל פקודות למחיקת קבצים. האפליקציות הזדוניות מספקות יכולות צ'אט לגיטימיות המבוססות על אפליקציית הקוד-פתוח OMEMO Instant Messenger.

"נראה שהקמפיין מכוון למטרות ספציפיות מאוד"

ממש כמו בקמפיינים הקודמים של SpaceCobra, קמפיין Chatico כוון למשתמשים בהודו. אפליקציית BingeChat מופצת דרך אתר אינטרנט שדורש הרשמה, וסביר להניח שהוא נפתח רק כשהתוקפים מצפים לכניסה של קורבנות ספציפיים. "בכל מקרה, נראה שהקמפיין מכוון למטרות ספציפיות מאוד", ציינו החוקרים.

לדברי לוקאס סטפנקו, חוקר ESET שעקב אחר האפליקציות הזדוניות, "איתרנו אתר אינטרנט שאמור להוביל להורדת האפליקציה הזדונית לאחר לחיצה על כפתור 'הורדה'; אולם, הוא דרש מהמבקרים להתחבר אליו עם שם משתמש וסיסמה. לא היה לנו משתמש באתר, וההרשמה הייתה סגורה. סביר להניח שמפעילי האתר פותחים את ההרשמה רק כשהם מצפים לביקור של קורבן ספציפי, כשהסינון עשוי לפעול על בסיס כתובת IP ספציפית, מיקום גיאוגרפי, כתובת URL ספציפית לגישה לאתר, או טווח זמנים מסוים".

סטפנקו ציין כי "אמנם לא הצלחנו להוריד את אפליקציית BingeChat דרך האתר, אך הצלחנו למצוא קישור להפצת האפליקציה ב-VirusTotal. האפליקציה הזדונית מעולם לא הייתה זמינה להורדה בחנות האפליקציות Google Play".

כחלק מהפונקציונליות הלגיטימית של האפליקציה, היא מספקת אפשרות ליצירת חשבון והתחברות. לפני שהמשתמש מתחבר לחשבון שלו באפליקציה, GravityRAT מתחילה ליצור קשר עם שרת השליטה והבקרה שלה, מדליפה אליו את נתוניו של המשתמש ומחכה לקבלת הוראות לביצוע.

רוגלת GravityRAT מסוגלת להדליף את יומני השיחות, רשימת אנשי הקשר, הודעות SMS, מיקום גיאוגרפי, מידע בסיסי על המכשיר, וקבצים עם סיומות ספציפיות המתאימות לתמונות וקבצים. לגרסה הזו של GravityRAT נוספו שני עדכונים קטנים, לעומת הגרסאות הקודמות המוכרות של GravityRAT: הדלפת גיבויי WhatsApp וקבלת פקודות למחיקת קבצים.