Новая версия Android-трояна GravityRAT маскируется под различные мессенджеры (например, BingeChat и Chatico) и используется в целевых кибератаках с июня 2022 года. Есть и интересные фичи: зловред может красть бэкапы WhatsApp и удалять файлы на устройстве жертвы.
О новом образце рассказал специалист ESET Лукаш Штефанко. В отчёте исследователь отмечает следующее:
«Отличительной особенностью новой кампании GravityRAT является возможность извлекать резервные копии WhatsApp, а также получать команды на удаление файлов».
«К слову, злонамеренные приложения обеспечивают полноценную функциональность мессенджера, основанную на приложении OMEMO с открытым исходным кодом».
GravityRAT представляет собой кросс-платформенный шпион. В 2020 году авторы портировали его на Android и macOS. В ESET трояну дали имя SpaceCobra, его операторы, судя по всему, размещаются в Пакистане.
К счастью, вредоносные версии мессенджеров нельзя встретить в Google Play. Однако злоумышленники распространяют шпионское приложение через веб-ресурсы, рекламирующие сервисы мгновенной отправки сообщений: bingechat[.]net и chatico[.]co[.]uk.
Обратите внимание, что GravityRAT, попав в систему, запрашивает излишне инвазивные разрешения. Зловреду это нужно для того, чтобы иметь возможность собирать конфиденциальную информацию: СМС-сообщения, журналы вызовов, файлы, данные геолокации и т. п. Все сведения отправляются на сервер, находящийся под контролем киберпреступников.
Кроме того, как отметил Штефанко, у Android-версии GravityRAT есть несколько специфических команд. Речь идёт о краже бэкапов WhatsApp и удалении важных файлов на девайсе жертвы.
