ESETresearch, SpaceCobra grubunun Android casus yazılımı GravityRAT kullanarak WhatsApp yedeklemelerini hedef aldığını keşfetti.
- ESETresearch, Android GravityRAT casus yazılımının yeni bir sürümünün, yasal açık kaynaklı OMEMO Instant Messenger Android uygulamasının truva atına dönüştürülmüş sürümleri olarak dağıtıldığını keşfetti.
- Truva atı olan BingeChat uygulaması, ücretsiz mesajlaşma ve dosya paylaşım hizmeti olarak sunulan bir web sitesinden indirilebiliyor.
- GravityRAT’in bu sürümüne dosyaları silmek için komut alma ve WhatsApp yedekleme dosyalarına sızma fonksiyonları eklenmiş görünüyor.
- Kampanya büyük olasılıkla belirli hedeflere yönelik. Tıpkı daha önce belgelenen SpaceCobra kampanyalarında olduğu gibi, Chatico kampanyası da Hindistan’daki bir kullanıcıyı hedef aldı.
ESET araştırmacıları, Android tabanlı GravityRAT casus yazılımının BingeChat ve Chatico mesajlaşma uygulamaları olarak dağıtılan güncellenmiş bir sürümünü tespit etti. GravityRAT daha önce Hindistan’daki kullanıcıları hedef alan saldırılarda kullanılan bir uzaktan erişim aracıdır. Windows, Android ve macOS sürümleri mevcuttur. GravityRAT’in arkasında kim olduğu bilinmiyor; ESET Research, SpaceCobra olarak bilinen grubu izliyor. Büyük olasılıkla Ağustos 2022’den beri aktif olan BingeChat kampanyası hala devam ediyor. Yeni keşfedilen kampanyada GravityRAT, WhatsApp yedeklemelerine sızabiliyor ve dosyaları silmek için komut alabiliyor. Kötü amaçlı uygulamalar ayrıca açık kaynaklı OMEMO Instant Messenger uygulamasında bulunan yasal sohbet işlevselliği de sağlıyor.
Daha önce belgelenen SpaceCobra kampanyalarında olduğu gibi, Chatico kampanyası da Hindistan’daki bir kullanıcıyı hedef aldı. BingeChat uygulaması, kayıt yaptırmak gereken bir web sitesi aracılığıyla dağıtılıyor. Büyük ihtimalle uygulama, saldırganlar bekledikleri belirli kurbanların, muhtemelen belirli bir IP adresi, coğrafi konum, özel URL veya belirli bir zaman dilimi içinde ziyaret ettiğinde açılıyor. Her durumda, kampanyanın belirli hedeflere yönelik olduğu düşünülüyor.
Kötü amaçlı yazılımları araştıran ESET araştırmacısı Lukáš Štefanko bu konuda şunları söylüyor: “UYGULAMAYI İNDİR düğmesine dokunduktan sonra kötü amaçlı uygulama yollayan bir web sitesi bulduk; ancak ziyaretçilerin oturum açmasını gerektiriyor. Kimlik bilgilerimiz yoktu ve kayıt olamadık. Operatörlerin kayıtları yalnızca bekledikleri belirli bir kurbanın, muhtemelen belirli bir IP adresi, coğrafi konum, özel URL veya belirli bir zaman dilimi içinde ziyaret ettiğinde açıldığını düşünüyoruz. BingeChat uygulamasını web sitesi üzerinden indirememiş olsak da, VirusTotal’da bir dağıtım URL’si bulabildik.” Kötü amaçlı uygulamaya Google Play store üzerinden erişim sağlanamıyor.
ESET Research, potansiyel kurbanların kötü amaçlı web sitesine girmesi için nasıl kandırıldığını veya hangi yollarla keşfedildiğini bilmiyor. Araştırma sırasında uygulamayı indirmenin hesap sahibi olma şartına bağlı olduğunu ve yeni hesap kaydının mümkün olmadığını göz önünde bulunduran ESET, potansiyel kurbanların özellikle hedef alındığına inanıyor.
Facebook araştırmacıları, Cisco Talos tarafından daha önce tahmin edildiği gibi GravityRAT’i Pakistan merkezli bir gruba bağlasa da, kötü amaçlı yazılımın arkasındaki grup bilinmiyor. ESET bu grubu SpaceCobra adıyla izliyor ve hem BingeChat hem de Chatico kampanyalarını bu gruba bağlıyor.
Uygulamanın yasal işlevselliğinin bir parçası olarak, bir hesap oluşturma ve oturum açma seçeneği sunuluyor. Kullanıcı uygulamaya giriş yapmadan önce GravityRAT, C&C sunucusuyla etkileşime geçerek cihaz kullanıcısının verilerine sızmaya başlıyor ve komutların yürütülmesini bekliyor. GravityRAT arama kayıtları, kişi listesi, SMS mesajları, cihaz konumu, temel cihaz bilgileri ve resimler, fotoğraflar ve belgeler için belirli uzantılara sahip dosyalara sızabiliyor. GravityRAT’in bu versiyonu, GravityRAT’in bilinen önceki sürümlerine kıyasla iki güncellemeye sahiptir: WhatsApp yedeklemelerine sızma ve dosyaları silmek için komut alma.
Siber Zorbalık: Hepimiz engellemekle sorumluyuz
