Logiciel malveillant mobile GravityRAT

Depuis août 2022, une nouvelle campagne de malwares Android a été détectée, diffusant la dernière version de GravityRAT et compromettant les appareils mobiles. Le logiciel malveillant utilise une application de chat trojanisée nommée "BingeChat" comme moyen d'infection, visant à voler des données sur les appareils des victimes.

La dernière version de GravityRAT est livrée avec des améliorations notables, notamment la possibilité de voler des fichiers de sauvegarde WhatsApp. Ces fichiers de sauvegarde, conçus pour aider les utilisateurs à transférer leur historique de messages, leurs fichiers multimédias et leurs données vers de nouveaux appareils, peuvent contenir des informations sensibles telles que du texte, des vidéos, des photos, des documents, etc., le tout dans un format non crypté.

Bien que GravityRAT soit actif depuis au moins 2015, il n'a commencé à cibler les appareils Android qu'en 2020. Les opérateurs à l'origine de ce logiciel malveillant, connu sous le nom de "SpaceCobra", utilisent exclusivement le logiciel espion pour leurs opérations hautement ciblées.

Les cybercriminels déguisent GravityRAT en applications de chat utiles

Le logiciel espion, déguisé en application de chat "BingeChat", prétend offrir un cryptage de bout en bout et dispose d'une interface conviviale ainsi que de fonctionnalités avancées. L'application malveillante est principalement distribuée via le site Web "bingechat.net" et éventuellement d'autres domaines ou canaux. Cependant, l'accès au téléchargement est limité aux personnes invitées qui doivent fournir des informations d'identification valides ou créer un nouveau compte.

Actuellement, les inscriptions à l'application sont fermées, limitant sa distribution à des cibles spécifiques. Cette méthode permet non seulement aux auteurs de diffuser le logiciel malveillant de manière sélective, mais pose également un défi aux chercheurs cherchant à obtenir une copie à des fins d'analyse.

De manière récurrente, les opérateurs de GravityRAT ont eu recours à la promotion d'APK Android malveillants à l'aide d'une application de chat nommée "SoSafe" en 2021 et avant cela, une autre application appelée "Travel Mate Pro". Ces applications étaient des versions trojanisées d'OMEMO IM, une application de messagerie instantanée open source légitime pour Android.

Notamment, SpaceCobra utilisait auparavant OMEMO IM comme base pour une autre application frauduleuse appelée "Chatico". À l'été 2022, Chatico a été distribué aux cibles via le site Web désormais disparu «chatico.co.uk».

Capacités malveillantes trouvées dans la menace mobile GravityRAT

Lors de l'installation sur l'appareil de la cible, BingeChat demande des autorisations qui comportent des risques inhérents. Ces autorisations incluent l'accès aux contacts, à l'emplacement, au téléphone, aux SMS, au stockage, aux journaux d'appels, à l'appareil photo et au microphone. Étant donné que ces autorisations sont généralement requises par les applications de messagerie instantanée, il est peu probable qu'elles éveillent des soupçons ou paraissent anormales à la victime.

Avant qu'un utilisateur ne s'enregistre dans BingeChat, l'application envoie subrepticement des informations cruciales au serveur Command-and-Control (C2) de l'auteur de la menace. Cela inclut les journaux d'appels, les listes de contacts, les messages SMS, l'emplacement de l'appareil et les informations de base sur l'appareil. De plus, le logiciel malveillant vole divers fichiers multimédias et documents de types de fichiers spécifiques, tels que jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 et crypt32. Notamment, les extensions de fichiers cryptés correspondent aux sauvegardes de WhatsApp Messenger.

De plus, l'une des nouvelles fonctionnalités notables de GravityRAT est sa capacité à recevoir trois commandes distinctes du serveur C2. Ces commandes incluent "supprimer tous les fichiers" (d'une extension spécifiée), "supprimer tous les contacts" et "supprimer tous les journaux d'appels". Cette capacité accorde à l'auteur de la menace un contrôle important sur l'appareil compromis et lui permet d'exécuter des actions potentiellement dommageables.

Les utilisateurs doivent faire preuve de la plus grande prudence lorsqu'ils accordent des autorisations aux applications et examiner attentivement les autorisations demandées par toute application, même celles apparemment légitimes. La mise à jour régulière des appareils, l'utilisation de solutions de sécurité fiables et la vigilance contre les comportements suspects des applications peuvent aider à atténuer les risques associés à ces campagnes de logiciels malveillants sophistiqués.