Троян GravityRAT ворует резервные копии из WhatsApp и удаляет файлы - «Новости»

  • 10:30, 17-июн-2023
  • Новости / Сайтостроение / Изображения / Заработок / Самоучитель CSS / Видео уроки / Текст / Преимущества стилей / Вёрстка / Отступы и поля / Линии и рамки / Списки
  • Novosti-Dny
  • 0

Исследователи обнаружили обновленную версию Android-трояна удаленного доступа GravityRAT. С лета 2022 вредонос маскируется под мессенджеры BingeChat и Chatico, пытаясь похищать данные с устройств пользователей.


Троян GravityRAT активен как минимум с 2015 года, но впервые начал ориентироваться на пользователей Android в 2020 году. Его операторы, группировка SpaceCobra, обычно применяют GravityRAT как шпионское ПО в узконаправленных кампаниях.


По словам исследователей компании ESET, которые проанализировал образец обновленной малвари после наводки от MalwareHunterTeam, одним из заметных новых обновлений в GravityRAT стала функциональность для кражи файлов резервных копий WhatsApp. Резервные копии создаются, чтобы помочь пользователям перенести историю сообщений, медиафайлы и данные на новые устройства, и могут содержать конфиденциальные данные, включая сообщения, видео, фотографии, документы и многое другое, в незашифрованном виде.





В настоящее время троян распространяется под названием BingeChat, выдавая себя за приложение для обмена сообщениями со сквозным шифрованием, простым интерфейсом и богатой функциональностью.





ESET сообщает, что приложение доставляется через сайт bingechat[.]net, но, возможно, есть и другие домены или каналы распространения. При этом загрузка малвари доступна только по приглашению, то есть пользователь должен ввести действительные учетные данные или зарегистрировать новый аккаунт.


Хотя регистрация в настоящее время закрыта, такой подход позволяет хакерам распространять вредоносные приложения только среди нужных им людей. Также это затрудняет исследователям доступ к малвари для анализа.


Аналитики пишут, что BingeChat представляет собой троянизированную версию OMEMO IM, легитимного мессенджера для Android с открытым исходным кодом. Причем в ходе изучения этой кампании выяснилось, что SpaceCobra использует OMEMO IM и в качестве основы для другого фейкового приложения — Chatico, которое было распространено среди жертв летом 2022 года, через уже отключенный сайт chatico.co[.]uk.


При установке на устройство BingeChat запрашивает опасные разрешения, включая доступ к контактам, местоположению, телефону, SMS, хранилищу, журналам вызовов, камере и микрофону. Увы, как отмечают исследователи, это стандартные разрешения для мессенджеров, поэтому они вряд ли вызовут подозрения у жертвы.


Прежде чем пользователь зарегистрируется в BingeChat, приложение передает журналы вызовов, списки контактов, SMS-сообщения, местоположение устройства и основную информацию об устройстве на управляющий сервер злоумышленников.


Кроме того, похищаются файлы мультимедиа и документы в форматах jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18 и crypt32. Расширения crypt* соответствуют упомянутым выше копиям WhatsApp.





Еще одна интересная новая функция GravityRAT, которую отмечают эксперты, это возможность получать от управляющего сервера три команды: «удалить все файлы» (с указанным расширением), «удалить все контакты» и «удалить все журналы вызовов».


Хотя обычно кампании SpaceCobra направлены на конкретных людей и ориентированы на Индию, исследователи напоминают всем пользователям Android избегать загрузки APK-файлов из-за пределов Google Play.


Исследователи обнаружили обновленную версию Android-трояна удаленного доступа GravityRAT. С лета 2022 вредонос маскируется под мессенджеры BingeChat и Chatico, пытаясь похищать данные с устройств пользователей. Троян GravityRAT активен как минимум с 2015 года, но впервые начал ориентироваться на пользователей Android в 2020 году. Его операторы, группировка SpaceCobra, обычно применяют GravityRAT как шпионское ПО в узконаправленных кампаниях. По словам исследователей компании ESET, которые проанализировал образец обновленной малвари после наводки от MalwareHunterTeam, одним из заметных новых обновлений в GravityRAT стала функциональность для кражи файлов резервных копий WhatsApp. Резервные копии создаются, чтобы помочь пользователям перенести историю сообщений, медиафайлы и данные на новые устройства, и могут содержать конфиденциальные данные, включая сообщения, видео, фотографии, документы и многое другое, в незашифрованном виде. В настоящее время троян распространяется под названием BingeChat, выдавая себя за приложение для обмена сообщениями со сквозным шифрованием, простым интерфейсом и богатой функциональностью. ESET сообщает, что приложение доставляется через сайт bingechat_

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!