Pratite nas preko RSS-aTrojanac GravityRAT sada krade rezervne kopije WhatsAppa i briše sve kontakte i fajlove sa zaraženih Android uređaja
Mobilni telefoni, 16.06.2023, 10:30 AM
Istraživači iz kompanije ESET otkrili su novu verziju poznatog trojanca GravityRAT, sakrivenu u mesindžer aplikaciji BingeChat, koja je deo kampanje ciljanih napada koja je započela u avgustu prošle godine.
Prema rečima Lukasa Štefanka iz kompanije ESET, ova trojanizovana aplikacija krade podatke sa uređaja žrtava. Značajna novina u novoj verziji malvera je krađa rezervnih kopija WhatsAppa. Ove kopije pomažu korisnicima da svoje poruke, fotografije, video snimke i druge podatke prenesu na nove uređaje. Svi ovi podaci čuvaju se u nešifrovanom obliku.
Još jedna značajna nova karakteristika GravityRAT-a je njegova sposobnost da prima tri komande od servera - „izbriši sve fajlove“ (sa određenom ekstenzijom), „izbriši sve kontakte“ i „izbriši sve evidencije poziva“.
„To su vrlo specifične komande koje se obično ne vide u Android malveru“, istakao je Štefanko.
GravityRAT se pojavio 2015. godine, ali verzija trojanca za Android primećena je prvi put tek 2020. godine. Osim nje, dostupne su i verzije malvera za Windows i macOS.
Ne zna se ko stoji iza GravityRAT-a, a grupu koja malver koristi isključivo u ciljanim napadima ESET interno prati pod nazivom SpaceCobra.
GravityRAT, kao i većina Android backdoor malvera, traži dozvole koje mu omogućavaju prikupljanje osetljivih informacija kao što su kontakti, SMS-ovi, evidencije poziva, fajlovi, podaci o lokaciji i audio snimci. Podaci se na kraju eksfiltriraju na server pod kontrolom napadača.
Aplikacija BingeChat u kojoj se krije GravityRAT se distribuira preko veb sajta koji od posetilaca zahteva da se prijave kako bi mogli da preuzmu aplikaciju. Istraživači ESET-a, međutim, nisu imali akreditive za prijavu, a registracije su zatvorene. To verovatno znači da napadači očekuju posetu određene žrtve, sa određenom IP adresom, geolokacijom, URL-om ili u određeno vreme. Nije jasno kako su potencijalne žrtve namamljene na veb sajt sa kog su preuzimale aplikaciju, ali s obzirom da je preuzimanje aplikacije uslovljeno posedovanjem naloga, a istraživači ESET-a nisu mogli da registruju novi nalog, oni smatraju da su žrtve bili posebno ciljane.
Inače, BingeChat, koji je trojanizovana verzija legitimne Android aplikacije otvorenog koda OMEMO Instant Messenger (IM), nikada nije bio dostupan u Google Play prodavnici.
Iako su napadi grupe SpaceCobra obično ciljani i uglavnom fokusani na Indiju, svi korisnici Androida treba da izbegavaju preuzimanje aplikacija izvan Google Play prodavnice i da budu oprezni sa rizičnim zahtevima za dozvole kada instaliraju bilo koju aplikaciju.
Izdvojeno
Samsung zakrpio kritičnu ranjivost koju su hakeri koristili za napade na Android uređaje
Samsung je objavio zakrpu za ozbiljnu bezbednosnu ranjivost (CVE-2025-21043) koju su, prema izveštajima, hakeri već koristili u napadima na Android ... Dalje
RatOn: Android trojanac nove generacije krade novac i kriptovalute i zaključava zaražene uređaje
Istraživači iz ThreatFabric-a upozoravaju na novi Android malver nazvan RatOn, koji je od jednostavnog alata za NFC relay napade evoluirao u sofisti... Dalje
Malver Brokewell u oglasima na Facebooku, ugroženi korisnici Androida
Istraživači iz Bitdefender Labsa upozorili su na lažne oglase na Facebooku preko kojih se širi Brokewell spyware koji od korisnika Androida krade ... Dalje
Hook 3.0: najopasniji Android malver ikada
Istraživači iz Zimperium Labs-a otkrili su novu verziju Android malvera HOOK, koja ima čak 107 funkcija što ga svrstava među najopasnije mobilne ... Dalje
Zaraženi milioni Android uređaja: malveri u Google Play aplikacijama
U Google Play prodavnici aplikacija pronađeno je čak 77 malicioznih Android aplikacija koje su do sada preuzete više od 19 miliona puta. Istraživa... Dalje
Pratite nas
Nagrade
Prijatelji
