ESET повідомляє про виявлення нової версії шпигунського програмного забезпечення GravityRAT для Android
ESET повідомляє про виявлення нової версії шпигунського програмного забезпечення GravityRAT для Android
ESET виявив оновлену версію шпигунського програмного забезпечення GravityRAT для Android, яке розповсюджується під виглядом програм для спілкування BingeChat та Chatico.
GravityRAT — інструмент віддаленого доступу, який раніше використовувався для цілеспрямованих атак на користувачів. Загроза має версії для Windows, Android та MacOS. Ймовірно, що BingeChat активний із серпня 2022 року.
Якими функціями є загроза і як вона поширюється?
Нещодавно виявлена загроза GravityRAT може перехоплювати резервні копії WhatsApp та отримувати команди для видалення файлів. Крім того, загроза може перехоплювати журнали дзвінків, список контактів, SMS-повідомлення, розташування пристрою, загальну інформацію про пристрій та файли зі спеціальними розширеннями для зображень, а також фотографії та документи.
При цьому шкідлива програма має функції обміну повідомленнями на базі відкритої програми OMEMO Instant Messenger, зокрема, жертва може створити обліковий запис та увійти до системи. Перш ніж жертва увійде в програму, GravityRAT починає взаємодіяти з командним сервером, викрадаючи дані користувача та очікуючи на виконання команд.
BingeChat розповсюджується через веб-сайт, який вимагає реєстрацію, тому ймовірно він відкритий тільки тоді, коли зловмисникам цікаві конкретні жертви. У будь-якому випадку існує велика ймовірність, що атаки є цілеспрямованими.
«Ми знайшли веб-сайт, який має завантажити шкідливу програму після натискання відповідної кнопки. Однак для цього відвідувачам потрібно увійти до облікового запису. Ми не мали облікових даних, а реєстрація була недоступна. Швидше за все, зловмисники відкривають реєстрацію лише тоді, коли вони чекають на конкретного користувача, можливо, з певною IP-адресою, геолокацією, URL-адресою або протягом певного періоду часу, — коментує дослідник компанії ESET Лукаш Штефанко . — Хоча завантажити програму BingeChat через веб-сайт не вдалося, наші фахівці змогли знайти URL-адресу на VirusTotal».
Слід зазначити, що шкідлива програма недоступна у офіційному магазині Google Play.
Виявити, як потенційні жертви потрапляли на шкідливий веб-сайт, не вдалося. Враховуючи, що завантаження програми залежить від наявності облікового запису, а реєстрація нового облікового запису була неможлива під час дослідження, фахівці ESET вважають, що потенційні жертви були спеціально спрямовані на цей ресурс.
Кіберзлочинці, відповідальні за це шкідливе програмне забезпечення, залишаються невідомими, хоча дослідники Facebook відносять GravityRAT групі в Пакистані, що раніше передбачала компанія Cisco Talos. Фахівці ESET припускають, що за шкідливу діяльність за допомогою BingeChat та Chatico відповідальна група SpaceCobra.
Як захиститись від подібних шпигунських програм?
1. Завантажуйте програми лише з офіційних магазинів, таких як Google Play, оскільки ймовірність завантаження шкідливих програм з таких ресурсів мінімальна.
2. Не переходьте за невідомими посиланнями, надісланими через повідомлення в соцмережах або електронних листах. Таким чином, зловмисники можуть заманити вас на шкідливий сайт або приховано завантажити загрозу на ваш пристрій.
3. Використовуйте рішення для мобільних пристроїв, яке захищає від різних загроз, включаючи віруси, трояни та фішинг-атаки.
