Trojanac GravityRAT sada krade rezervne kopije WhatsAppa i briše sve kontakte i fajlove sa zaraženih Android uređaja
Mobilni telefoni, 16.06.2023, 10:30 AM
Istraživači iz kompanije ESET otkrili su novu verziju poznatog trojanca GravityRAT, sakrivenu u mesindžer aplikaciji BingeChat, koja je deo kampanje ciljanih napada koja je započela u avgustu prošle godine.
Prema rečima Lukasa Štefanka iz kompanije ESET, ova trojanizovana aplikacija krade podatke sa uređaja žrtava. Značajna novina u novoj verziji malvera je krađa rezervnih kopija WhatsAppa. Ove kopije pomažu korisnicima da svoje poruke, fotografije, video snimke i druge podatke prenesu na nove uređaje. Svi ovi podaci čuvaju se u nešifrovanom obliku.
Još jedna značajna nova karakteristika GravityRAT-a je njegova sposobnost da prima tri komande od servera - „izbriši sve fajlove“ (sa određenom ekstenzijom), „izbriši sve kontakte“ i „izbriši sve evidencije poziva“.
„To su vrlo specifične komande koje se obično ne vide u Android malveru“, istakao je Štefanko.
GravityRAT se pojavio 2015. godine, ali verzija trojanca za Android primećena je prvi put tek 2020. godine. Osim nje, dostupne su i verzije malvera za Windows i macOS.
Ne zna se ko stoji iza GravityRAT-a, a grupu koja malver koristi isključivo u ciljanim napadima ESET interno prati pod nazivom SpaceCobra.
GravityRAT, kao i većina Android backdoor malvera, traži dozvole koje mu omogućavaju prikupljanje osetljivih informacija kao što su kontakti, SMS-ovi, evidencije poziva, fajlovi, podaci o lokaciji i audio snimci. Podaci se na kraju eksfiltriraju na server pod kontrolom napadača.
Aplikacija BingeChat u kojoj se krije GravityRAT se distribuira preko veb sajta koji od posetilaca zahteva da se prijave kako bi mogli da preuzmu aplikaciju. Istraživači ESET-a, međutim, nisu imali akreditive za prijavu, a registracije su zatvorene. To verovatno znači da napadači očekuju posetu određene žrtve, sa određenom IP adresom, geolokacijom, URL-om ili u određeno vreme. Nije jasno kako su potencijalne žrtve namamljene na veb sajt sa kog su preuzimale aplikaciju, ali s obzirom da je preuzimanje aplikacije uslovljeno posedovanjem naloga, a istraživači ESET-a nisu mogli da registruju novi nalog, oni smatraju da su žrtve bili posebno ciljane.
Inače, BingeChat, koji je trojanizovana verzija legitimne Android aplikacije otvorenog koda OMEMO Instant Messenger (IM), nikada nije bio dostupan u Google Play prodavnici.
Iako su napadi grupe SpaceCobra obično ciljani i uglavnom fokusani na Indiju, svi korisnici Androida treba da izbegavaju preuzimanje aplikacija izvan Google Play prodavnice i da budu oprezni sa rizičnim zahtevima za dozvole kada instaliraju bilo koju aplikaciju.
Izdvojeno
Google je prošle godine sprečio objavljivanje 2,3 miliona potencijalno opasnih Android aplikacija na Google Play
Google je objavio da je prošle godine blokirao objavljivanje 2,28 miliona Android aplikacija na Google Play zbog toga što su kršile različite smer... Dalje
Brokewell je novi trojanac koji preuzima kontrolu nad zaraženim Android uređajima i krade podatke korisnika
Istraživači bezbednosti iz kompanije ThreatFabric otkrili su novog bankarskog trojanca za Android koga su nazvali Brokewell, koji može da snimi sva... Dalje
Bankarski malver sakriven u antivirusnoj aplikaciji
Istraživači kompanije Fox-IT otkrili su novu verziju bankarskog trojanca „Vultur“ za Android koja u odnosu na ranije verzije ima napredn... Dalje
Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije
Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje
WhatsApp će blokirati skrinšotove za slike profila
WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje
Pratite nas
Nagrade