זוהתה קבוצת תקיפה המנסה לגנוב גיבויי WhatsApp באמצעות רוגלת GravityRAT המיועדת למכשירי אנדרואיד
מאת:
מערכת Telecom News, 18.6.23, 14:33
הקבוצה מוכרת בשם SpaceCobra.
חוקרי
ESET זיהו גרסה משודרגת של הרוגלה
GravityRAT (בגרסה המיועדת למערכות
Android) המופצת ומתחזה לאפליקציות המסרים
BingeChat ו-
Chatico.
GravityRAT היא כלי להשתלטות מרחוק, ששימש בעבר כחלק ממתקפות ממוקדות כנגד משתמשים בהודו. לנוזקה יש גרסאות למערכות ההפעלה
Windows,
Android ו-
macOS. נכון להיום, עדיין לא ידוע מי עומד מאחורי
GravityRAT.
גוף המחקר של החברה עוקב אחרי הקבוצה המוכרת בשם
SpaceCobra. קמפיין
BingeChat, שככל הנראה החל לפעול באוגוסט 2022, עדיין פעיל. בקמפיין, שהתגלה לאחרונה, נוזקת
GravityRAT יכולה להדליף גיבויי
WhatsApp ולקבל פקודות למחיקת קבצים. האפליקציות הזדוניות מספקות יכולות צ׳ט לגיטימיות המבוססות על אפליקציית הקוד-פתוח
OMEMO Instant Messenger.
ממש כמו בקמפיינים הקודמים של
SpaceCobra, קמפיין
Chatico כוון למשתמש בהודו. אפליקציית
BingeChat מופצת דרך אתר אינטרנט שדורש הרשמה, וסביר להניח שהוא נפתח רק כשהתוקפים מצפים לכניסה של קורבנות ספציפיים, כשהסינון עשוי לפעול על בסיס כתובת
IP ספציפית, מיקום גיאוגרפי, כתובת
URL ספציפית לגישה לאתר, או טווח זמנים מסוים. בכל מקרה, נראה, שהקמפיין מכוון למטרות ספציפיות מאוד.
לחברה אין פרטים בנוגע לכמות הקורבנות הפוטנציאלים, שהובלו לאתר במרמה (או גילו אותו). אם ניקח בחשבון, שהורדת התוכנה דורשת חשבון, ושההרשמה להקמת חשבון חדש הייתה סגורה במהלך המחקר, בחברה מאמינים, שהמתקפה הייתה מכוונת לקורבנות ספציפיים.
עדיין לא יודע מי הקבוצה העומדת מאחורי הנוזקה, אך חוקרי פייסבוק מצאו קשר בין
GravityRAT לבין קבוצה הנמצאת בפקיסטן, בהתאם להשערה, שהועלתה בעבר ע״י
Cisco Talos. החברה עוקבת אחרי הקבוצה ונתנה לה את השם
SpaceCobra, ומשייכת את קמפייני
BingeChat ו-
Chatico לקבוצה הזו.
כחלק מהפונקציונליות הלגיטימית של האפליקציה, היא מספקת אפשרות ליצירת חשבון והתחברות. לפני שהמשתמש מתחבר לחשבון שלו באפליקציה,
GravityRAT מתחילה ליצור קשר עם שרת השליטה והבקרה שלה, מדליפה אליו את נתוניו של המשתמש ומחכה לקבלת הוראות לביצוע. רוגלת
GravityRAT מסוגלת להדליף את יומני השיחות, רשימת אנשי הקשר, הודעות
SMS, מיקום גיאוגרפי, מידע בסיסי על המכשיר, וקבצים עם סיומות ספציפיות המתאימות לתמונות וקבצים.
לגרסה הזו של
GravityRAT נוספו 2 עדכונים קטנים לעומת הגרסאות הקודמות המוכרות של
GravityRAT: הדלפת גיבויי
WhatsApp וקבלת פקודות למחיקת קבצים. האפליקציה הזדונית מעולם לא הייתה זמינה להורדה בחנות האפליקציות
Google Play.
לוקאס סטפנקו, חוקר
ESET, שחקר את האפליקציות הזדוניות: ״איתרנו אתר אינטרנט, שאמור להוביל להורדת האפליקציה הזדונית לאחר לחיצה על כפתור ׳הורדה׳. אולם, הוא דרש מהמבקרים להתחבר אליו עם שם משתמש וסיסמה. לא היה לנו משתמש באתר, וההרשמה הייתה סגורה.
סביר להניח, שמפעילי האתר פותחים את ההרשמה רק כשהם מצפים לביקור של קורבן ספציפי, כשהסינון עשוי לפעול על בסיס כתובת
IP ספציפית, מיקום גיאוגרפי, כתובת
URL ספציפית לגישה לאתר, או טווח זמנים מסוים. אמנם, לא הצלחנו להוריד את אפליקציית
BingeChat דרך האתר, אך הצלחנו למצוא קישור להפצת האפליקציה ב-
VirusTotal".
המחקר המלא -
כאן.