Загроза також має версії для Windows та macOS
Фото: pexels.com
Компанія ESET ─ лідер у сфері інформаційної безпеки ─ виявила оновлену версію шпигунського програмного забезпечення GravityRAT для Android, що поширюється під виглядом застосунків для спілкування BingeChat і Chatico, пише УНІАН.
GravityRAT ─ це інструмент віддаленого доступу, який раніше вже використовувався для цілеспрямованих атак на користувачів. Ця загроза має версії для Windows, Android і MacOS. Найімовірніше, BingeChat активний із серпня 2022 року.
Які функції має GravityRAT і як вона поширюється?
Загроза GravityRAT має низку функцій і поширюється різними способами. Нещодавно виявлено, що вона може перехоплювати резервні копії WhatsApp та отримувати команди для видалення файлів. Крім того, загроза здатна перехоплювати журнали викликів, список контактів, SMS-повідомлення, місце розташування пристрою, загальну інформацію про пристрій, файли зі спеціальними розширеннями для зображень, а також фотографії та документи.
Шкідлива програма також має функції обміну повідомленнями на базі відкритого застосунку OMEMO Instant Messenger. Перш ніж жертва увійде в програму, GravityRAT починає взаємодіяти з командним сервером, краде дані користувача та очікує виконання команд.
Додаток BingeChat поширюється через вебсайт, який вимагає реєстрації, тож імовірно він відкритий лише тоді, коли зловмисникам цікаві конкретні жертви. У будь-якому разі існує велика ймовірність, що атаки є цілеспрямованими.
“Ми знайшли вебсайт, який має завантажити шкідливу програму після натискання відповідної кнопки. Однак для цього відвідувачам потрібно увійти в обліковий запис. У нас не було облікових даних, а реєстрація була недоступна. Найімовірніше, що зловмисники відкривають реєстрацію лише тоді, коли вони чекають конкретного користувача, можливо, з певною IP-адресою, геолокацією, URL-адресою або протягом певного періоду часу, — коментує Лукаш Штефанко, дослідник компанії ESET. — Хоч і завантажити додаток BingeChat через вебсайт не вдалося, наші спеціалісти змогли знайти URL-адресу на VirusTotal”.
Виявити, як саме потенційні жертви потрапляли на шкідливий сайт, не вдалося. З огляду на те, що завантаження застосунку залежить від наявності облікового запису, а реєстрація нового облікового запису була неможлива під час дослідження, фахівці ESET вважають, що потенційні жертви були спеціально спрямовані на цей ресурс.
Кіберзлочинці, відповідальні за це шкідливе програмне забезпечення, залишаються невідомими. Однак дослідники Facebook і Cisco Talos пов’язують GravityRAT із групою в Пакистані. Крім того, фахівці ESET припускають, що SpaceCobra може бути відповідальною за шкідливу діяльність, пов’язану з BingeChat і Chatico.
Слід зазначити, що шкідлива програма недоступна в офіційному магазині Google Play.
Apple і Google наполегливо працюють над тим, щоб виявляти та видаляти шахрайські застосунки зі своїх магазинів. Попри всі їхні зусилля, кіберзлочинці прослизають крізь щілини. На жаль небезпеку несуть навіть корисні, на перший погляд, програми. Ми розглянули цю тему докладніше в нашій статті “Видаліть це скоріше: топ найнебезпечніших застосунків для смартфонів”.
Цікаве на тему:
- Таємне хакерське угруповання займається шпигунством в Україні: на кого працюють Red Stinger
- Google запускає безплатний курс кібербезпеки — деталі
- Майже 20 розширень для Google Chrome з вірусами – перевірте свій браузер
