Исследователи ESET обнаружили обновленную версию шпионского ПО GravityRAT для Android, распространяемого под видом приложений для обмена сообщениями BingeChat и Chatico. GravityRAT - это инструмент удаленного доступа, известный по крайней мере с 2015 года и ранее использовавшийся в целевых атаках на Индию. Доступны версии для Windows, Android и macOS, о чем ранее сообщали Cisco Talos, Kaspersky и Cyble. Автор GravityRAT остается неизвестным/
Скорее всего, кампания BingeChat продолжается с августа 2022 года; однако кампания с использованием Chatico больше не активна. BingeChat распространяется через веб-сайт, рекламирующий бесплатные службы обмена сообщениями. В недавно обнаруженной кампании GravityRAT может проникать в резервные копии WhatsApp и получать команды на удаление файлов. Вредоносные приложения также предоставляют легитимные функции чата на основе приложения OMEMO Instant Messenger с открытым исходным кодом.
- ESET отслеживает эту группу как SpaceCobra.
- ESET обнаружили новую версию шпионского ПО Android GravityRAT, распространяемого в виде троянизированных версий легитимного приложения OMEMO Instant Messenger для Android с открытым исходным кодом.
- Троянское приложение BingeChat доступно для загрузки с веб-сайта, который представляет его как бесплатную службу обмена сообщениями и файлами.
- Эта версия GravityRAT дополнена двумя новыми возможностями: получением команд на удаление файлов и эксфильтрацией резервных файлов WhatsApp.
Indicators of Compromise
IPv4
- 104.21.12.211
- 104.21.24.109
- 104.21.41.147
- 172.67.196.90
- 172.67.203.168
- 75.2.37.224
Domains
- adb.androidadbserver.com
- bingechat.net
- chatico.co.uk
- cld.androidadbserver.com
- dev.androidadbserver.com
- dev.jdklibraries.com
- jre.jdklibraries.com
- ping.androidadbserver.com
SHA1
- 1e03cd512cd75de896e034289cb2f5a529e4d344
- 25715a41250d4b9933e3599881ce020de7fa6dc3
- 2b448233e6c9c4594e385e799cea9ee8c06923bd
