Trojanac GravityRAT sada krade rezervne kopije WhatsAppa i briše sve kontakte i fajlove sa zaraženih Android uređaja
Mobilni telefoni, 16.06.2023, 10:30 AM
![Trojanac GravityRAT sada krade rezervne kopije WhatsAppa i briše sve kontakte i fajlove sa zaraženih Android uređaja](/thumbs/v1_4207_screenshot-www.welivesecurity.com-2023.06.16-10_14_29.png)
Istraživači iz kompanije ESET otkrili su novu verziju poznatog trojanca GravityRAT, sakrivenu u mesindžer aplikaciji BingeChat, koja je deo kampanje ciljanih napada koja je započela u avgustu prošle godine.
Prema rečima Lukasa Štefanka iz kompanije ESET, ova trojanizovana aplikacija krade podatke sa uređaja žrtava. Značajna novina u novoj verziji malvera je krađa rezervnih kopija WhatsAppa. Ove kopije pomažu korisnicima da svoje poruke, fotografije, video snimke i druge podatke prenesu na nove uređaje. Svi ovi podaci čuvaju se u nešifrovanom obliku.
Još jedna značajna nova karakteristika GravityRAT-a je njegova sposobnost da prima tri komande od servera - „izbriši sve fajlove“ (sa određenom ekstenzijom), „izbriši sve kontakte“ i „izbriši sve evidencije poziva“.
„To su vrlo specifične komande koje se obično ne vide u Android malveru“, istakao je Štefanko.
GravityRAT se pojavio 2015. godine, ali verzija trojanca za Android primećena je prvi put tek 2020. godine. Osim nje, dostupne su i verzije malvera za Windows i macOS.
Ne zna se ko stoji iza GravityRAT-a, a grupu koja malver koristi isključivo u ciljanim napadima ESET interno prati pod nazivom SpaceCobra.
GravityRAT, kao i većina Android backdoor malvera, traži dozvole koje mu omogućavaju prikupljanje osetljivih informacija kao što su kontakti, SMS-ovi, evidencije poziva, fajlovi, podaci o lokaciji i audio snimci. Podaci se na kraju eksfiltriraju na server pod kontrolom napadača.
Aplikacija BingeChat u kojoj se krije GravityRAT se distribuira preko veb sajta koji od posetilaca zahteva da se prijave kako bi mogli da preuzmu aplikaciju. Istraživači ESET-a, međutim, nisu imali akreditive za prijavu, a registracije su zatvorene. To verovatno znači da napadači očekuju posetu određene žrtve, sa određenom IP adresom, geolokacijom, URL-om ili u određeno vreme. Nije jasno kako su potencijalne žrtve namamljene na veb sajt sa kog su preuzimale aplikaciju, ali s obzirom da je preuzimanje aplikacije uslovljeno posedovanjem naloga, a istraživači ESET-a nisu mogli da registruju novi nalog, oni smatraju da su žrtve bili posebno ciljane.
Inače, BingeChat, koji je trojanizovana verzija legitimne Android aplikacije otvorenog koda OMEMO Instant Messenger (IM), nikada nije bio dostupan u Google Play prodavnici.
Iako su napadi grupe SpaceCobra obično ciljani i uglavnom fokusani na Indiju, svi korisnici Androida treba da izbegavaju preuzimanje aplikacija izvan Google Play prodavnice i da budu oprezni sa rizičnim zahtevima za dozvole kada instaliraju bilo koju aplikaciju.
![Acronis](/s2.png)
Izdvojeno
Ažurirajte Telegram na Androidu: greška u aplikaciji omogućava hakerima da vam pošalju malver maskiran u video snimak
![Ažurirajte Telegram na Androidu: greška u aplikaciji omogućava hakerima da vam pošalju malver maskiran u video snimak](/thumbs/v2_9969_pexels-viralyft-16841808 (1).jpg)
Istraživači iz kompanije ESET otkrili su ranjivost nultog dana Telegrama za Android koja omogućava napadačima da pošalju malver maskiran u video... Dalje
Više od 250 aplikacija sa Google Play koristi se za sakrivanje ''zlonamernih blizanačkih aplikacija'' i prevaru sa oglasima
![Više od 250 aplikacija sa Google Play koristi se za sakrivanje ''zlonamernih blizanačkih aplikacija'' i prevaru sa oglasima](/thumbs/v2_6758_yura-fresh-xezXEh_fIeU-unsplash (1).jpg)
Istraživači iz kompanije HUMAN Security otkrili su masovnu prevaru sa oglasima koja koristi stotine aplikacija u Google Play prodavnici koje služe ... Dalje
Nove verzije Android bankarskog trojanca Medusa šire se po svetu
![Nove verzije Android bankarskog trojanca Medusa šire se po svetu](/thumbs/v2_6084_pexels-dilek-yuksel-271240108-14398054.jpg)
Bankarski trojanac za Android pod nazivom Medusa ponovo se pojavio nakon skoro godinu dana. On se trenutno koristi za napade na uređaje korisnika u K... Dalje
Opasni trojanac Rafel RAT inficira i zaključava starije Android telefone
![Opasni trojanac Rafel RAT inficira i zaključava starije Android telefone](/thumbs/v2_3618_rami-al-zayat-w33-zg-dNL4-unsplash (4).jpg)
Sve više hakerskih grupa koristi moćnog trojanca za Android otvorenog koda pod nazivom „Rafel RAT“ za napade na starije uređaje. Neki o... Dalje
Isključujete li nekad svoj pametni telefon? Evo zašto bi to trebalo raditi barem jednom nedeljno
![Isključujete li nekad svoj pametni telefon? Evo zašto bi to trebalo raditi barem jednom nedeljno](/thumbs/v1_8793_pexels-didsss-1367229.jpg)
Isključujete li nekad svoj telefon? Ako je odgovor ne, trebalo bi da promenite to i bar jednom nedeljno isključite i uključite telefon. Ovo je samo... Dalje
Pratite nas
Nagrade