GravityRAT Mobile Malware

Seit August 2022 wurde eine neue Android-Malware-Kampagne entdeckt, die die neueste Version von GravityRAT verbreitet und mobile Geräte kompromittiert. Als Infektionsmittel nutzt die Malware eine trojanisierte Chat-Anwendung namens „BingeChat“ mit dem Ziel, Daten von den Geräten der Opfer zu stehlen.

Die neueste Version von GravityRAT bietet bemerkenswerte Verbesserungen, darunter die Möglichkeit, WhatsApp-Backupdateien zu stehlen. Diese Sicherungsdateien, die Benutzern bei der Übertragung ihres Nachrichtenverlaufs, ihrer Mediendateien und Daten auf neue Geräte helfen sollen, können vertrauliche Informationen wie Texte, Videos, Fotos, Dokumente und mehr enthalten, alles in einem unverschlüsselten Format.

Während GravityRAT seit mindestens 2015 aktiv ist, hat es erst im Jahr 2020 damit begonnen, Android-Geräte ins Visier zu nehmen. Die Betreiber dieser Malware, bekannt als „SpaceCobra“, nutzen die Spyware ausschließlich für ihre gezielten Operationen.

Cyberkriminelle tarnen GravityRAT als nützliche Chat-Apps

Die als Chat-App „BingeChat“ getarnte Spyware behauptet, Ende-zu-Ende-Verschlüsselung zu bieten und verfügt über eine benutzerfreundliche Oberfläche sowie erweiterte Funktionen. Die bösartige App wird hauptsächlich über die Website „bingechat.net“ und möglicherweise andere Domänen oder Kanäle verbreitet. Der Zugriff auf den Download ist jedoch auf eingeladene Personen beschränkt, die gültige Anmeldeinformationen angeben oder ein neues Konto registrieren müssen.

Derzeit sind die Registrierungen für die App geschlossen, wodurch ihre Verbreitung auf bestimmte Zielgruppen beschränkt ist. Diese Methode ermöglicht es den Tätern nicht nur, die Malware selektiv einzuschleusen, sondern stellt auch eine Herausforderung für Forscher dar, die eine Kopie zur Analyse erhalten möchten.

In einem wiederkehrenden Muster griffen die Betreiber von GravityRAT im Jahr 2021 dazu, bösartige Android-APKs zu bewerben, indem sie eine Chat-App namens „SoSafe“ und davor eine andere App namens „Travel Mate Pro“ nutzten. Bei diesen Apps handelte es sich um trojanisierte Versionen von OMEMO IM, einer legitimen Open-Source-Instant-Messenger-App für Android.

Insbesondere nutzte SpaceCobra zuvor OMEMO IM als Grundlage für eine weitere betrügerische App namens „Chatico“. Im Sommer 2022 wurde Chatico über die inzwischen nicht mehr existierende Website „chatico.co.uk“ an Zielpersonen verteilt.

Schädliche Funktionen in der mobilen Bedrohung GravityRAT gefunden

Bei der Installation auf dem Gerät des Ziels fordert BingeChat Berechtigungen an, die mit Risiken verbunden sind. Zu diesen Berechtigungen gehört der Zugriff auf Kontakte, Standort, Telefon, SMS, Speicher, Anrufprotokolle, Kamera und Mikrofon. Da diese Berechtigungen in der Regel von Instant-Messaging-Apps benötigt werden, ist es unwahrscheinlich, dass sie beim Opfer Verdacht erregen oder ungewöhnlich erscheinen.

Bevor sich ein Benutzer bei BingeChat registriert, sendet die App heimlich wichtige Informationen an den Command-and-Control-Server (C2) des Bedrohungsakteurs. Dazu gehören Anrufprotokolle, Kontaktlisten, SMS-Nachrichten, Gerätestandort und grundlegende Geräteinformationen. Darüber hinaus stiehlt die Malware verschiedene Medien- und Dokumentdateien bestimmter Dateitypen, z. B. jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 und crypt32. Insbesondere entsprechen die Krypta-Dateierweiterungen den WhatsApp Messenger-Backups.

Darüber hinaus ist eine der bemerkenswerten neuen Funktionen von GravityRAT die Fähigkeit, drei verschiedene Befehle vom C2-Server zu empfangen. Zu diesen Befehlen gehören „Alle Dateien löschen“ (mit einer angegebenen Erweiterung), „Alle Kontakte löschen“ und „Alle Anrufprotokolle löschen“. Diese Fähigkeit gewährt dem Bedrohungsakteur erhebliche Kontrolle über das kompromittierte Gerät und ermöglicht es ihm, potenziell schädliche Aktionen auszuführen.

Benutzer sollten beim Erteilen von Berechtigungen für Apps äußerste Vorsicht walten lassen und die von jeder Anwendung angeforderten Berechtigungen, auch von scheinbar legitimen, sorgfältig prüfen. Die regelmäßige Aktualisierung von Geräten, der Einsatz zuverlässiger Sicherheitslösungen und die Wachsamkeit gegenüber verdächtigem App-Verhalten können dazu beitragen, die mit solch raffinierten Malware-Kampagnen verbundenen Risiken zu mindern.