GravityRat'ın en son sürümünü yayan yeni bir Android kötü amaçlı yazılım kampanyası, Ağustos 2022'den bu yana, mobil cihazları kurbanların cihazlarından veri çalmaya çalışan 'Bingechat' adlı bir truva sohbet uygulamasıyla bulaşıyor.
MalwareHunterTeam'den bir ipucu aldıktan sonra bir örnek analiz eden ESET'in araştırmacısı Lukas Stefanko'ya göre, GravityRat'ın en son sürümünde tespit edilen yeni eklemelerden biri WhatsApp yedekleme dosyalarını çalıyor.
WhatsApp yedeklemeleri, kullanıcıların mesaj geçmişlerini, medya dosyalarını ve verilerini yeni cihazlara taşımasına yardımcı olmak için oluşturulur, böylece metin, video, fotoğraf, belgeler ve daha fazlası gibi hassas verileri şifrelenmemiş biçimde içerebilir.
GravityRat en az 2015'ten beri aktiftir, ancak 2020'de ilk kez Android'i hedeflemeye başladı. Operatörleri 'Spacecobra', casus yazılımları sadece ve dar hedefleme işlemlerinde kullanıyor.
Casus yazılım, basit bir arayüz ancak gelişmiş özelliklere sahip bir uçtan uca şifreli sohbet uygulaması olan 'Bingechat' adı altında yayılmıştır.
ESET, uygulamanın "Bingechat [.] Net" ve muhtemelen diğer etki alanları veya dağıtım kanalları aracılığıyla teslim edildiğini, ancak indirmenin davet tabanlı olduğunu ve ziyaretçilerin geçerli kimlik bilgileri girmesini veya yeni bir hesap kaydetmesini gerektirdiğini söylüyor.
Kayıtlar şu anda kapalı olsa da, bu yöntem sadece kötü amaçlı uygulamaları hedeflenen kişilere dağıtmalarını sağlar. Ayrıca araştırmacıların analiz için bir kopyaya erişmelerini zorlaştırır.
Kötü niyetli Android APK'larını hedeflere tanıtmak, 2021'de tekrar istihdam edilen, 'Sosafe' adlı bir sohbet uygulaması kullanan taktik bir GravityRat'in operatörleri ve bundan önce 'Travel Mate Pro' adlı bir diğeri.
Stefanko, uygulamanın Android için meşru bir açık kaynaklı anlık messenger uygulaması olan Omemo IM'nin truva atlı bir versiyonu olduğunu buldu.
Daha ileri kazdıktan sonra, ESET'in analisti Spacecobra'nın Omemo IM'yi 2022 yazında şu anda "chatico.co [.] Uk" aracılığıyla hedeflere dağıtılan "Chatico" adlı başka bir sahte uygulama için bir temel olarak kullandığını buldu.
Bingechat, kontaklara, konum, telefon, SMS, depolama, çağrı günlükleri, kamera ve mikrofona erişim dahil olmak üzere hedefin cihazına kurulumu üzerine riskli izinler talep eder.
Bunlar anlık mesajlaşma uygulamaları için standart izinlerdir, bu nedenle şüpheleri artırma veya kurban için anormal görünmeleri olası değildir.
Kullanıcı Bingechat'te kayıt yapmadan önce, uygulama Tehdit Oyuncusu'nun Komut ve Kontrol (C2) sunucusuna arama günlükleri, iletişim listeleri, SMS mesajları, cihaz konumu ve temel cihaz bilgilerini gönderir.
Ek olarak, JPG, JPEG, LOG, PNG, PNG, JPG, JPEG, TXT, PDF, XML, DOC, XLS, XLSX, PPT, PPTX, DOCX, OPUS, CRYPT14, Crypt12, Crypt13, Crypt18 ve Crypt32 tipleri de çalınır.
Crypt dosyası uzantıları, daha önce bahsedilen WhatsApp Messenger yedeklerine karşılık gelir.
GravityRat'ın bir başka önemli yeni özelliği, C2'den üç komut alma yeteneğidir, yani "tüm dosyaları silin" (belirtilen bir uzantıdan), "Tüm Kişileri Sil" ve "Tüm Çağrı Günlüklerini Sil".
Spacecobra'nın kampanyaları oldukça hedeflenirken ve genellikle Hindistan'a odaklanırken, tüm Android kullanıcıları Google Play dışından APK'ları indirmekten kaçınmalı ve herhangi bir uygulama yüklerken riskli izin talepleriyle temkinli olmalıdır.
Güncelleme 6/17 - Bir Google sözcüsü, GravityRat tehdidi hakkında aşağıdaki yorumu gönderdi:
Google Play Protect, kullanıcıları bu uygulamalar diğer kaynaklardan geldiğinde bile Google Play hizmetleriyle Android cihazlarda bu kötü amaçlı yazılımları içerdiği bilinen uygulamalardan korur.
Spinok Android kötü amaçlı yazılım 30 milyon yükleme ile daha fazla uygulamada bulundu
Google Play'den 421 milyon kez yüklü casus yazılımlı Android uygulamaları
Android Güvenlik Güncellemesi Mali GPU hatasını sıfır gün olarak sömürdü
60.000'den fazla Android uygulaması son altı ay boyunca gizlice yüklü reklam yazılımı
Yeni araç 'üçgenleme' kötü amaçlı yazılım enfeksiyonu için iPhone'ları tarar
Kaynak: Bleeping Computer