Данные резервного копирования WhatsApp похищает вредоносное ПО под названием «GravityRAT». Информация поступила через веб-сайт BleepingComputer, где говорится, что с августа 2022 года вредоносное ПО заражает мобильные телефоны и планшеты через приложение обмена сообщениями BingeChat для сбора данных. По словам Лукаса Стефанко, исследователя ESET, компании по обеспечению безопасности, ответственной за разработку антивируса ESET NOD32, последняя версия GravityRAT способна красть файлы из резервной копии WhatsApp.
Вредоносное ПО для Android может украсть ваши данные WhatsApp
Резервные копии данных WhatsApp для Android были украдены вредоносным ПО под названием GravityRAT. Источник: Oficina da Net.
Впервые обнаруженный на устройствах Android в 2020 году, GravityRAT контролируется группой под названием «SpaceCobra». В настоящее время вредоносное ПО распространяется через приложение под названием BingeChat, которое, как говорят, представляет собой приложение для обмена мгновенными сообщениями со сквозным шифрованием и чистым интерфейсом.
Согласно публикации на сайте ESET welivesecurity, Лукас Стефанко говорит, что приложение загружается через адрес «bingechat[.]net» и, возможно, другие сайты и каналы распространения. Однако загрузка «BingeChat» осуществляется по приглашению и требует от посетителя ввода действительных данных или регистрации новой учетной записи. Несмотря на то, что реестр в настоящее время закрыт, этот метод позволяет распространять только целевым лицам, что затрудняет получение копий для анализа исследователями в области безопасности.
Скриншот сайта Bingechat. Источник: BleepingComputer
Группа SpaceCobra использовала тактику предложения Android APK в 2021 году с приложением для обмена сообщениями SoSafe. До этого операторы GravityRAT использовали Travel Mate Pro. По словам Лукаса, эти приложения являются «троянизированной» версией «OMEMO IM», кодового приложения, которое является законным.
После дальнейших исследований Лукас обнаружил, что «SpaceCobra» использовала «OMEMO IM» в качестве основы для другого поддельного приложения под названием «Chatico», которое распространялось в 2022 году через адрес «chatico.co».[.]uk », который сейчас не в сети.
Стратегия группы SpaceCobra по распространению вредоносного ПО GravityRAT на Android-устройствах. Источник: ESET
На что способна GravityRAT
При загрузке приложения BingeChat у пользователя запрашиваются разрешения, включая доступ к контактам, местоположению, телефону, SMS, хранилищу, журналу вызовов, камере и микрофону. Эти разрешения являются стандартными для приложений для обмена мгновенными сообщениями, поэтому на данный момент трудно вызвать какие-либо подозрения.
Еще до того, как пользователь зарегистрирует учетную запись в BingeChat, приложение отправляет журналы вызовов, списки контактов, SMS-сообщения, местоположение устройства и другие основные данные на командный сервер агента угрозы. Кроме того, медиафайлы и документы в форматах jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18 и crypt32 также украдены. Форматы Crypt — это резервные копии WhatsApp.
Извлечение данных вредоносной программой GravityRAT на Android-устройстве. Источник: ESET
Еще одним ресурсом, которым обладает вредоносная программа GravityRAT, является получение трех команд от своих контроллеров («SpaceCobra»): «удалить все файлы» (с указанным расширением), «удалить все контакты» и «удалить все записи звонков».
Что делать, чтобы избежать заражения телефона или планшета Android?
Сегодня группа SpaceCbora нацелена на Индию. Однако всем пользователям устройств Android рекомендуется избегать загрузки APK-файлов за пределами Play Store.