GravityRAT: Araştırmacılar, mesajlaşma uygulamalarında gizlenen yeni bir kötü amaçlı yazılım keşfetti
SpaceCobra olarak bilinen bir bilgisayar korsanlığı kümesi, amaçlanan cihazdan pek çok hassas bilgiyi çalabilen bir anlık mesajlaşma uygulaması geliştirdi.Araştırmacılar uygulamayı indirmekte zorlandıklarından, tehdit aktörü tam olarak kimi hedeflemeye çalıştığını biliyor gibi görünüyor.
Son zamanlarda ESET siber güvenlik araştırmacıları BingeChat ve Chatico adlı iki iletişim uygulamasıaslında bir uzaktan erişim truva atı YerçekimiRAT koştuğunu keşfetti. Bu RAT, arama kayıtları, kişi listesi, SMS bildirimleri, cihaz konumu, temel cihaz bilgileri ve fotoğraflar, fotoğraflar ve belgeler için makul uzantılara sahip belgeler dahil olmak üzere güvenliği ihlal edilmiş uç noktalardan birçok hassas bilgiyi sızdırabilir.
Bu iki uygulamayı GravityRAT taşıyan diğer uygulamalardan ayıran en önemli şey, bunların WhatsApp yedeklerini çalma yeteneğive belgeleri silmek için komutlar alabilme.
Dağıtım şekli farklı
Bu tehlikeyi daha da benzersiz kılan, kötü niyetli kötü amaçlı yazılımların dağıtım şeklidir. Uygulamalar, uygulama mağazalarında bulunamaz ve Google Play’e hiç yüklenmemiş gibi görünür. Bunun yerine, özel olarak hazırlanmış bir web sitesini ziyaret edip bir hesap açarak kolayca indirilebilir. . Bu çok özel görünmeyebilir, ancak ESET araştırmacıları siteyi ziyaret ettiklerinde kayıt “kapalı” olduğu için hesap açamadılar. Bu, araştırmacıları, kümenin muhtemelen belirli bir konumu veya IP adresini hedeflemede çok kesin bir amacı olduğu sonucuna varmasına yol açtı.
ESET araştırmacısı Lukas Stefanko, “ En olası durum, operatörlerin kaydı yalnızca belirli bir kurbanın, muhtemelen belirli bir IP adresi, coğrafi konum, özel URL ile veya belirli bir zaman dilimi içinde ziyaret etmesini beklediklerinde açacaklarıdır.” ve ekliyor: “ BingeChat uygulamasını web sitesi aracılığıyla indiremesek de VirusTotal’da bir dağıtım URL’si bulabildik.”
Kurbanların çoğu Hindistan’da
Ancak, kurbanların çoğu Hindistan’da yaşamış gibi görünüyor. SpaceCobra olarak tanımlanan saldırganlar, Pakistan kökenli gibi görünüyor. Araştırmacılar, kampanyanın muhtemelen geçen yıl Ağustos ayından beri aktif olduğunu ve ikisinden birinin (BingeChat) hala aktif olduğunu söyledi. Açık kaynaklı OMEMO Instant Messenger uygulamasını temel alan bu kötü amaçlı kötü amaçlı uygulama, Windows, macOS ve Android işletim sistemlerini etkileyebilir.
