ΑρχικήsecurityΨεύτικη εφαρμογή ανταλλαγής μηνυμάτων διανέμει το GravityRAT

Ψεύτικη εφαρμογή ανταλλαγής μηνυμάτων διανέμει το GravityRAT

Το GravityRAT, ένα trojan απομακρυσμένης πρόσβασης με spyware δυνατότητες, μολύνει ξανά συσκευές αφού κρύβεται μέσα στη φαινομενικά νόμιμη εφαρμογή ανταλλαγής μηνυμάτων SoSafe Chat. Μάλιστα, η κακόβουλη εφαρμογή ισχυρίζεται ότι προσφέρει end-to-end κρυπτογράφηση.

GravityRAT

Το GravityRAT στοχεύει κυρίως Ινδούς χρήστες και διανέμεται από Πακιστανούς hackers.

Δείτε επίσης: PhoneSpy: Android spyware εκστρατεία στοχεύει Κορεάτες χρήστες

Τα στοιχεία δείχνουν ότι και σε αυτή την πρόσφατη εκστρατεία, το RAT εξακολουθεί να στοχεύει άτομα “υψηλού προφίλ” στην Ινδία, όπως αξιωματικούς των Ενόπλων Δυνάμεων.

Το GravityRAT παρουσιάζεται σαν ασφαλής εφαρμογή συνομιλίας

Το 2020, το κακόβουλο λογισμικό στόχευε χρήστες μέσω μιας Android εφαρμογής με την ονομασία “Travel Mate Pro“. Ωστόσο, η πανδημία περιόρισε τα ταξίδια, και έτσι οι εγκληματίες του κυβερνοχώρου έπρεπε να βρουν μια νέα εφαρμογή, για να μπορούν να στοχεύσουν περισσότερους χρήστες.

Η κακόβουλη εφαρμογή ονομάζεται πλέον “SoSafe Chat” και προωθείται ως ασφαλής εφαρμογή ανταλλαγής μηνυμάτων που προσφέρει end-to-end κρυπτογράφηση.

Το site που πιθανότατα έπαιξε ρόλο στη διανομή της εφαρμογής (sosafe.co[.]in) εξακολουθεί να λειτουργεί, αλλά δεν ισχύει το ίδιο για το σύνδεσμο λήψης και τη φόρμα εγγραφής.

Το κανάλι και η μέθοδος διανομής παραμένουν άγνωστα, αλλά πιθανότατα τα θύματα οδηγούνταν στο site μέσω malvertising τεχνικών, social media posts και άμεσων μηνυμάτων σε στόχους.

Δείτε επίσης: Το spyware FakeCop εξαπλώνεται ως antivirus στην Ιαπωνία

Κατασκοπευτικές ικανότητες

Μόλις εγκατασταθεί στη συσκευή ενός στόχου, το GravityRAT-spyware μπορεί να εκτελέσει διάφορες κακόβουλες δραστηριότητες και να επιτρέψει στους χειριστές του να διεισδύουν σε δεδομένα, να κατασκοπεύουν το θύμα και να παρακολουθήσουν την τοποθεσία του.

SoSafe Chat εφαρμογή ανταλλαγής μηνυμάτων spyware

Ακολουθεί η λίστα με τις κακόβουλες ενέργειες του spyware:

  • Πρόσβαση σε SMS, αρχεία καταγραφής κλήσεων και επαφές
  • Αλλαγή ρυθμίσεων συστήματος
  • Πρόσβαση σε τρέχουσες πληροφορίες cellular network, στον αριθμό τηλεφώνου και τον σειριακό αριθμό του τηλεφώνου του θύματος, την κατάσταση κλήσεων που βρίσκονται σε εξέλιξη και μια λίστα με Phone Accounts που είναι καταχωρημένοι στη συσκευή
  • Διαχείριση αρχείων στον εξωτερικό χώρο αποθήκευσης της συσκευής
  • Εγγραφή ήχου
  • Λήψη πληροφοριών δικτύου και Wi-Fi
  • Εντοπισμός της τοποθεσίας της συσκευής

Σύμφωνα με ερευνητές της Cyble, η κακόβουλη εφαρμογή ζητά πολλές άδειες κατά την εγκατάσταση, αλλά μπορεί να φαίνεται φυσιολογικό για μια εφαρμογή ανταλλαγής μηνυμάτων.

Δείτε επίσης: Το Android app “Smart TV remote” στο Google Play είναι malware

Σε σύγκριση με την έκδοση του 2020, το GravityRAT έχει προσθέσει τη δυνατότητα εγγραφής ήχου, τον εντοπισμό τοποθεσίας και τη δυνατότητα εξαγωγής cellular network data.

Πριν από την έκδοση του 2020, το GravityRAT στόχευε αποκλειστικά μηχανήματα Windows. Δεν είχε τη δυνατότητα να στοχεύει mobile συσκευές.

Οι πιο πρόσφατες επιθέσεις, ωστόσο, δείχνουν ότι οι χειριστές του GravityRAT το εξελίσσουν συνεχώς και ενισχύουν τις spyware δυνατότητές του.

Πηγή: Bleeping Computer

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS