GravityRAT: Forscher entdecken ein neues verschwenderisches Versteck in Messaging-Apps

Ein Hacking-Cluster namens SpaceCobra hat eine Instant-Messaging-Anwendung entwickelt, die viele vertrauliche Informationen vom Zielgerät stehlen kann.Der Bedrohungsakteur scheint genau zu wissen, wen er angreifen will, da es den Forschern schwerfiel, die App herunterzuladen.

ESET-Cybersicherheitsforscher kürzlich Zwei Kommunikations-Apps namens BingeChat und ChaticoEigentlich ein Fernzugriffstrojaner GravityRAT Er entdeckte, dass er rannte. Dieser RAT ist in der Lage, eine große Anzahl vertraulicher Informationen von kompromittierten Endpunkten preiszugeben, darunter Anrufprotokolle, Kontaktlisten, SMS-Benachrichtigungen, Geräteposition, grundlegende Geräteinformationen und Dokumente mit angemessenen Erweiterungen für Fotos, Fotos und Dokumente.

Das Wichtigste, was diese beiden Anwendungen von anderen Anwendungen mit GravityRAT unterscheidet, ist, dass sie Möglichkeit, WhatsApp-Backups zu stehlenund in der Lage zu sein, Befehle zum Löschen von Dokumenten zu empfangen.

Das Verteilungsformat ist unterschiedlich

Was diese Bedrohung noch einzigartiger macht, ist die Verbreitung schädlicher Zielsoftware. Apps können nicht in App Stores gefunden werden und scheinen nie auf Google Play hochgeladen worden zu sein. Stattdessen kann es einfach heruntergeladen werden, indem man eine speziell gestaltete Website besucht und ein Konto eröffnet. . Diese Situation scheint nichts Besonderes zu sein, aber ESET-Forscher konnten beim Besuch der Website kein Konto eröffnen, da die Registrierungen „geschlossen“ waren. Dies führte die Forscher zu dem Schluss, dass der Cluster wahrscheinlich eine vernünftige Position oder eine sehr genaue Absicht hatte, die IP-Adresse anzugreifen.

ESET-Forscher Lukas Štefenko, „ Der wahrscheinlichste Fall ist, dass Betreiber die Aufzeichnung nur dann öffnen, wenn sie den Besuch eines bestimmten Opfers erwarten, möglicherweise mit einer IP-Adresse, einem geografischen Standort, einer benutzerdefinierten URL oder innerhalb eines angemessenen Zeitrahmens.“ und fügt hinzu: „ Obwohl wir die BingeChat-App nicht über die Website herunterladen konnten, konnten wir auf VirusTotal eine Vertriebs-URL finden.

Viele der Opfer sind in Indien

Viele der Opfer scheinen jedoch in Indien gelebt zu haben. Die als SpaceCobra identifizierten Angreifer scheinen pakistanischer Herkunft zu sein. Die Kampagne sei wahrscheinlich seit August letzten Jahres aktiv und eine der beiden (BingeChat) sei immer noch aktiv, sagten die Forscher. Basierend auf der Open-Source-Anwendung OMEMO Instant Messenger kann die Schadanwendung Windows-, macOS- und Android-Betriebssysteme beeinträchtigen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert