Trojanac GravityRAT sada krade rezervne kopije WhatsAppa i briše sve kontakte i fajlove sa zaraženih Android uređaja

Mobilni telefoni, 16.06.2023, 10:30 AM

Trojanac GravityRAT sada krade rezervne kopije WhatsAppa i briše sve kontakte i fajlove sa zaraženih Android uređaja

Istraživači iz kompanije ESET otkrili su novu verziju poznatog trojanca GravityRAT, sakrivenu u mesindžer aplikaciji BingeChat, koja je deo kampanje ciljanih napada koja je započela u avgustu prošle godine.

Prema rečima Lukasa Štefanka iz kompanije ESET, ova trojanizovana aplikacija krade podatke sa uređaja žrtava. Značajna novina u novoj verziji malvera je krađa rezervnih kopija WhatsAppa. Ove kopije pomažu korisnicima da svoje poruke, fotografije, video snimke i druge podatke prenesu na nove uređaje. Svi ovi podaci čuvaju se u nešifrovanom obliku.

Još jedna značajna nova karakteristika GravityRAT-a je njegova sposobnost da prima tri komande od servera - „izbriši sve fajlove“ (sa određenom ekstenzijom), „izbriši sve kontakte“ i „izbriši sve evidencije poziva“.

„To su vrlo specifične komande koje se obično ne vide u Android malveru“, istakao je Štefanko.

GravityRAT se pojavio 2015. godine, ali verzija trojanca za Android primećena je prvi put tek 2020. godine. Osim nje, dostupne su i verzije malvera za Windows i macOS.

Ne zna se ko stoji iza GravityRAT-a, a grupu koja malver koristi isključivo u ciljanim napadima ESET interno prati pod nazivom SpaceCobra.

GravityRAT, kao i većina Android backdoor malvera, traži dozvole koje mu omogućavaju prikupljanje osetljivih informacija kao što su kontakti, SMS-ovi, evidencije poziva, fajlovi, podaci o lokaciji i audio snimci. Podaci se na kraju eksfiltriraju na server pod kontrolom napadača.

Aplikacija BingeChat u kojoj se krije GravityRAT se distribuira preko veb sajta koji od posetilaca zahteva da se prijave kako bi mogli da preuzmu aplikaciju. Istraživači ESET-a, međutim, nisu imali akreditive za prijavu, a registracije su zatvorene. To verovatno znači da napadači očekuju posetu određene žrtve, sa određenom IP adresom, geolokacijom, URL-om ili u određeno vreme. Nije jasno kako su potencijalne žrtve namamljene na veb sajt sa kog su preuzimale aplikaciju, ali s obzirom da je preuzimanje aplikacije uslovljeno posedovanjem naloga, a istraživači ESET-a nisu mogli da registruju novi nalog, oni smatraju da su žrtve bili posebno ciljane.

Inače, BingeChat, koji je trojanizovana verzija legitimne Android aplikacije otvorenog koda OMEMO Instant Messenger (IM), nikada nije bio dostupan u Google Play prodavnici.

Iako su napadi grupe SpaceCobra obično ciljani i uglavnom fokusani na Indiju, svi korisnici Androida treba da izbegavaju preuzimanje aplikacija izvan Google Play prodavnice i da budu oprezni sa rizičnim zahtevima za dozvole kada instaliraju bilo koju aplikaciju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

NSO grupa kažnjena sa 168 miliona dolara zbog špijuniranja korisnika WhatsApp-a

NSO grupa kažnjena sa 168 miliona dolara zbog špijuniranja korisnika WhatsApp-a

Proizvođač špijunskog softvera NSO grupa moraće da plati WhatsApp-u skoro 168 miliona dolara, više od četiri meseca nakon što je američki sud ... Dalje

Hakovana nezvanična verzija aplikacije Signal koju su koristili Trampovi saradnici

Hakovana nezvanična verzija aplikacije Signal koju su koristili Trampovi saradnici

TeleMessage, izraelska kompanija koja pruža usluge arhiviranja poruka za preduzeća i državne entitete, uključujući alate za arhiviranje poruka ... Dalje

Polovina svih mobilnih uređaja radi na zastarelim operativnim sistemima

Polovina svih mobilnih uređaja radi na zastarelim operativnim sistemima

Polovina svih mobilnih uređaja radi na zastarelim operativnim sistemima, što ih čini veoma ranjivim na sajber napade. Ovo je podatak iz izveštaja ... Dalje

Bag u iOS može da blokira iPhone slanjem zlonamernih notifikacija

Bag u iOS može da blokira iPhone slanjem zlonamernih notifikacija

Programer aplikacija i istraživač bezbednosti Giljerme Rembo otkrio je ranjivost u iOS-u koja može omogućiti napadačima da daljinski blokiraju i... Dalje

WhatsApp uvodi novu opciju za zaštitu privatnosti

WhatsApp uvodi novu opciju za zaštitu privatnosti

WhatsApp je uveo novu funkciju za zaštitu privatnosti pod nazivom „Advanced Chat Privacy“ koja omogućava korisnicima da spreče učesni... Dalje