Группа хакеров под названием SpaceCobra разработала приложение для обмена мгновенными сообщениями, которое также может украсть большое количество конфиденциальной информации с целевого устройства. Злоумышленник, по-видимому, точно знает, на кого он пытается нацелиться, поскольку исследователи обнаружили, что загрузка приложения является довольно сложной задачей.
Исследователи кибербезопасности ESET недавно обнаружили, что два приложения для обмена сообщениями под названием BingeChat и Chatico на самом деле предоставляют GravityRAT, троян для удаленного доступа. Эта RAT смогла извлечь широкий спектр конфиденциальной информации из скомпрометированных конечных точек, включая журналы вызовов, списки контактов, SMS-сообщения, местоположение устройства, базовую информацию об устройстве и файлы с определенными расширениями для изображений, фотографий и документов.
Нет присутствия в магазине приложений
Что отличает эти два приложения от других, предлагающих GravityRAT, так это то, что они также могут красть резервные копии WhatsApp и получать команды на удаление файлов.
Способ распространения вредоносного ПО делает эту кампанию еще более уникальной. Приложения нельзя найти в магазинах приложений и, например, никогда не загружали в Google Play. Вместо этого их можно загрузить, только посетив специально разработанный веб-сайт и открыв учетную запись. Возможно, это не кажется чем-то особенным, но исследователи ESET не смогли открыть учетную запись, потому что регистрация была «закрыта» во время их посещения. Это привело их к выводу, что группа очень точно ориентировалась на свою аудиторию, возможно, ориентируясь на определенное местоположение или IP-адрес.
«Скорее всего, операторы открывают реестр только тогда, когда ожидают посещения конкретной жертвы, возможно, с определенным IP-адресом, геолокацией, пользовательским URL-адресом или в течение определенного периода времени», — говорит исследователь ESET Лукаш Штефанко. «Хотя мы не смогли загрузить приложение BingeChat с веб-сайта, мы смогли найти URL-адрес распространения на VirusTotal», — добавляет он.
Однако большинство жертв, по-видимому, живут в Индии. Нападавшие, SpaceCobra, по всей видимости, имеют пакистанское происхождение. По словам исследователей, кампания, скорее всего, была активной с августа прошлого года, причем одна из двух (BingeChat) все еще активна. Вредоносное приложение основано на приложении OMEMO Instant Messenger с открытым исходным кодом и доступно для Windows, macOS и Android.
