pkf-krepost.ruНовости

Главная Новости

Хакеры атаковали резервные копии WhatsApp, используя для этого шпионское ПО Android

Опубликовано: 07.07.2023

Исследователи ESET обнаружили обновленную версию шпионского ПО GravityRAT для ОС Android, которое распространяется под видом мессенджеров BingeChat и Chatico. GravityRAT — инструмент удаленного доступа, который ранее использовался в целевых атаках на пользователей в Индии. Доступны версии для Windows, Android и macOS. Злоумышленники, стоящие за шпионским ПО GravityRAT, остаются неизвестными, ESET отслеживает активность в этом отношении группы, известной как SpaceCobra. Кампания BingeChat, скорее всего, активна с августа 2022 года и продолжается до сих пор. В недавно обнаруженной кампании GravityRAT может извлекать резервные копии WhatsApp и получать команды для удаления файлов. Вредоносные приложения также предоставляют законные функции чата на основе приложения OMEMO Instant Messenger с открытым исходным кодом.

Как и ранее задокументированные кампании SpaceCobra, кампания Chatico была нацелена на пользователя в Индии. BingeChat распространяется через веб-сайт, который требует регистрации и, скорее всего, будет открыт только тогда, когда злоумышленники ожидают посещения определенных жертв или пользователей с определенным IP-адресом, геолокацией, пользовательским URL-адресом или в течение определенного периода времени. В любом случае, весьма вероятно, что кампания является узконаправленной.

«Мы обнаружили веб-сайт, который якобы предоставляет вредоносное приложение после нажатия кнопки «СКАЧАТЬ ПРИЛОЖЕНИЕ». Тем не менее, он требует, чтобы посетители вошли в систему. У нас не было данных для входа, и регистрация была закрыта. Очень вероятно, что операторы открывают регистрацию только тогда, когда они ожидают посещения конкретной жертвы, возможно, с определенным IP-адресом, геолокацией, собственным URL-адресом или в определенное время», — говорит исследователь ESET Лукаш Штефанко, который исследовал вредоносные приложения. «Хотя нам не удалось загрузить BingeChat через веб-сайт, мы смогли найти URL-адрес распространения на VirusTotal», — добавляет. Вредоносное приложение никогда не было доступно в магазине Google Play.

Исследователи ESET не располагают информацией о том, как потенциальные жертвы были заманены на вредоносный веб-сайт или как они его обнаружили. Учитывая, что загрузка приложения зависит от созданной учетной записи, а регистрация новой учетной записи во время анализа была невозможна, ESET полагает, что злоумышленники сосредоточились на специально выбранных целях.

Злоумышленники, стоящие за вредоносным ПО, остаются неизвестными, хотя исследователи Facebook связывают GravityRAT с группой, базирующейся в Пакистане, как ранее сообщала Cisco Talos. ESET отслеживает вредоносную активность группы под названием SpaceCobra и связывает ее с кампаниями BingeChat и Chatico.

В рамках своих законных функций приложение предоставляет возможность создания учетной записи и входа в систему. Прежде чем пользователь войдет в приложение, шпионское ПО GravityRAT начинает связь со своим управляющим сервером, извлекает пользовательские данные устройства и ожидает выполнения команд. GravityRAT может извлекать журналы вызовов, список контактов, SMS-сообщения, местоположение устройства, основную информацию об устройстве и файлы с определенными форматами для изображений, фотографий и документов. Эта версия GravityRAT имеет два незначительных обновления по сравнению с предыдущими общеизвестными версиями GravityRAT: эксфильтрация резервных копий WhatsApp и прием команд для удаления файлов.

Вы можете прочитать больше технической информации в нашем специальный блог на сайте WeLiveSecurity. Вы можете найти последние откровения исследователей ESET на Исследования ESET в Твиттере.

Об ESET

Уже более 30 лет компания ESET разрабатывает ведущее программное обеспечение и услуги, направленные на ИТ-безопасность и защиту предприятий, критической инфраструктуры и домашних хозяйств по всему миру от все более изощренных цифровых угроз. Обладая широким спектром решений для конечных точек и мобильных устройств с шифрованием и двухфакторной аутентификацией, ESET предлагает своим клиентам высокопроизводительные, но простые в использовании продукты, обеспечивающие защиту без лишнего вмешательства 24 часа в сутки, при этом механизмы защиты обновляются в режиме реального времени. время, чтобы пользователи всегда были в безопасности, а деятельность компании могла работать без перебоев. Поскольку угрозы постоянно развиваются, компания, занимающаяся ИТ-безопасностью, которая хочет помочь безопасному использованию технологий, также должна работать над их развитием. ESET работает для достижения этой цели и поддержки лучшего общего будущего через свои центры исследований и разработок в разных уголках мира. Более подробную информацию вы можете найти на сайте www.eset.sk,или вы можете следить за нами в социальных сетях LinkedIn,Фейсбук а Твиттер.

rss