Новая версия GravityRAT похищает резервные копии данных из мессенджера WhatsApp

В июне 2022 года специалисты обнаружили в дикой природе (ITW) новую версию шпионского трояна для Android под названием GravityRAT, который в то время распространялся под видом мессенджеров BingeChat и Chatico. Данные атаки были частью узконаправленной кампании, направленной против военных и правительственных сотрудников в Индии и Пакистане.

GravityRAT — это троян удалённого доступа (RAT), который используется злоумышленниками с 2015 года в целевых атаках против Индии. Существуют версии GravityRAT для Windows, Android и macOS, о которых в прошлом уже сообщали специалисты Cisco Talos , Cyble и «Лаборатории Касперского» . Авторы GravityRAT неизвестны, а исследователи ESET отслеживают группу, предположительно причастную к его разработке, под внутренним названием «SpaceCobra».

Как стало известно совсем недавно, вредоносная операция с использованием BingeChat и Chatico до сих пор активна, но теперь хакеры используют новые методы для атаки.

«Примечательным в новой кампании является то, что GravityRAT может похищать резервные копии WhatsApp и получать команды на удаление файлов. Это очень специфические команды, которые обычно не встречаются в Android-вредоносах», — сообщил исследователь ESET Лукаш Штефанко в новом отчёте , опубликованном сегодня.

Мессенджеры BingeChat и Chatico недоступны в Google Play, и распространяются через поддельные сайты, рекламирующие бесплатные услуги обмена сообщениями. Как сообщается, мошенники целенаправленно находят потенциальных жертв через Facebook* и Instagram* с целью обмануть их и заставить скачать вредоносное приложение.

«Эта группа использовала фиктивные профили, выдавая себя за рекрутеров как легитимных, так и фиктивных оборонных компаний и правительств, военных, журналистов. В попытках завоевать доверие жертв злоумышленники даже притворялись женщинами, желающими завязать романтические отношения», — говорится в ежеквартальном отчёте по угрозам компании Meta*.

GravityRAT, как и большинство Android-бэкдоров, запрашивает навязчивые разрешения под видом законного приложения, чтобы собирать чувствительную информацию, такую как контакты, SMS-сообщения, журналы звонков, файлы, данные о местоположении и аудиозаписи, причём без ведома жертвы. Захваченные данные в конечном итоге отправляются на удалённый сервер злоумышленников.

GravityRAT — это мощный и опасный троян, который может нанести серьёзный ущерб конфиденциальности и безопасности пользователей Android. Он использует обманчивые методы распространения и скрывается под видом легитимных приложений для обмена сообщениями.

Пользователи должны быть осторожны и не скачивать приложения из ненадёжных источников, а также тщательно проверять разрешения, которые запрашивают приложения. Также рекомендуется использовать надёжное антивирусное решение для защиты своих устройств от GravityRAT и прочих вредоносных программ.

* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.