Pratite nas preko RSS-aTrojanac GravityRAT sada krade rezervne kopije WhatsAppa i briše sve kontakte i fajlove sa zaraženih Android uređaja
Mobilni telefoni, 16.06.2023, 10:30 AM
Istraživači iz kompanije ESET otkrili su novu verziju poznatog trojanca GravityRAT, sakrivenu u mesindžer aplikaciji BingeChat, koja je deo kampanje ciljanih napada koja je započela u avgustu prošle godine.
Prema rečima Lukasa Štefanka iz kompanije ESET, ova trojanizovana aplikacija krade podatke sa uređaja žrtava. Značajna novina u novoj verziji malvera je krađa rezervnih kopija WhatsAppa. Ove kopije pomažu korisnicima da svoje poruke, fotografije, video snimke i druge podatke prenesu na nove uređaje. Svi ovi podaci čuvaju se u nešifrovanom obliku.
Još jedna značajna nova karakteristika GravityRAT-a je njegova sposobnost da prima tri komande od servera - „izbriši sve fajlove“ (sa određenom ekstenzijom), „izbriši sve kontakte“ i „izbriši sve evidencije poziva“.
„To su vrlo specifične komande koje se obično ne vide u Android malveru“, istakao je Štefanko.
GravityRAT se pojavio 2015. godine, ali verzija trojanca za Android primećena je prvi put tek 2020. godine. Osim nje, dostupne su i verzije malvera za Windows i macOS.
Ne zna se ko stoji iza GravityRAT-a, a grupu koja malver koristi isključivo u ciljanim napadima ESET interno prati pod nazivom SpaceCobra.
GravityRAT, kao i većina Android backdoor malvera, traži dozvole koje mu omogućavaju prikupljanje osetljivih informacija kao što su kontakti, SMS-ovi, evidencije poziva, fajlovi, podaci o lokaciji i audio snimci. Podaci se na kraju eksfiltriraju na server pod kontrolom napadača.
Aplikacija BingeChat u kojoj se krije GravityRAT se distribuira preko veb sajta koji od posetilaca zahteva da se prijave kako bi mogli da preuzmu aplikaciju. Istraživači ESET-a, međutim, nisu imali akreditive za prijavu, a registracije su zatvorene. To verovatno znači da napadači očekuju posetu određene žrtve, sa određenom IP adresom, geolokacijom, URL-om ili u određeno vreme. Nije jasno kako su potencijalne žrtve namamljene na veb sajt sa kog su preuzimale aplikaciju, ali s obzirom da je preuzimanje aplikacije uslovljeno posedovanjem naloga, a istraživači ESET-a nisu mogli da registruju novi nalog, oni smatraju da su žrtve bili posebno ciljane.
Inače, BingeChat, koji je trojanizovana verzija legitimne Android aplikacije otvorenog koda OMEMO Instant Messenger (IM), nikada nije bio dostupan u Google Play prodavnici.
Iako su napadi grupe SpaceCobra obično ciljani i uglavnom fokusani na Indiju, svi korisnici Androida treba da izbegavaju preuzimanje aplikacija izvan Google Play prodavnice i da budu oprezni sa rizičnim zahtevima za dozvole kada instaliraju bilo koju aplikaciju.
Izdvojeno
Novi Android trojanci koriste veštačku inteligenciju za automatizovane klikove na oglase
Istraživači kompanije za mobilnu bezbednost Dr.Web otkrili su novu porodicu Android trojanaca koja koristi veštačku inteligenciju za automatsko ot... Dalje
Ne odlažite ažuriranje iPhone-a: iOS 26.2 donosi zaštitu od dve ranjivosti koje se koriste za špijuniranje
Apple je 12. decembra 2025. zakrpio dve WebKit zero-day ranjivosti koje su povezane sa plaćeničkim špijunskim softverom. Ove zakrpe dostupne su isk... Dalje
Frogblight: novi Android malver krade podatke i prazni bankovne račune
Istraživači kompanije Kaspersky otkrili su novi Android malver pod nazivom Frogblight, koji krade osetljive podatke sa zaražnih uređaja i prazni b... Dalje
Kimwolf botnet: vojska zaraženih Android uređaja van kontrole
Istraživači kompanije Xlab otkrili su jedan od najvećih ikada zabeleženih botneta, nazvan Kimwolf, koji trenutno obuhvata oko 1,8 miliona zaražen... Dalje
Cellik: Android malver u zaraženim verzijama Google Play aplikacija
Na hakerskim forumima pojavio se novi Android malware-as-a-service (MaaS) pod nazivom Cellik, koji napadačima nudi mogućnost ubacivanja malvera u po... Dalje
Pratite nas
Nagrade
Prijatelji
