Android GravityRAT 外掛程式攻擊 WhatsApp 備份檔案

ESET 研究人員近期發現,一種名為 Android GravityRAT 的間諜軟件已經更新,並以即時通訊應用程式 BingeChat 和 Chatico 的形式散播。GravityRAT 是一種遠端存取工具,自 2015 年以來就被確定用於針對印度的特定攻擊。然而,至今我們仍不知道 GravityRAT 的幕後黑手是誰,我們內部將這個團體暫時稱為 SpaceCobra。

值得注意的是,我們最近發現了 GravityRAT 可以偷取 WhatsApp 備份並接收刪除文件的指令,這些惡意應用程式也利用開源應用程式 OMEMO Instant Messenger 提供了合法的聊天功能。

首先,我們發現了一種新版的 Android GravityRAT 間諜軟件,該軟件偽裝成合法的開源 OMEMO Instant Messenger Android 應用程式並進行散播。其次,被植入木馬的 BingeChat 應用程式可以從一個免費網站下載。最後,最新版本的 GravityRAT 增加了兩項新功能:接收刪除檔案的命令和偷取 WhatsApp 備份檔案。

我們不確定受害者是如何被引導,或是如何發現這個惡意網站的。考慮到下載該應用程式需要有帳號,而我們又無法註冊新帳號,我們認為潛在的受害者可能是特定的目標。

GravityRAT分配機制

至於受害者的情況,根據 ESET 的遙測數據,我們並未發現有任何 BingeChat 活動的受害者,這進一步暗示這個活動可能只針對特定的目標。然而,我們的遙測數據在 2022 年 6 月確實偵測到印度一個 Android GravityRAT 的樣本,GravityRAT 則是以 Chatico 的形式出現。

總的來說,自 2015年 以來一直活躍的 SpaceCobra,已將 GravityRAT 更新,並增加了額外的功能,從 C&C 伺服器接收刪除檔案的指令,以偷取 WhatsApp Messenger 的備份。就如同以往一樣,這次的活動也利用了即時通訊應用程式的開源項目(OMEMO Instant Messenger)來構建其木馬化的應用程式。尤其需要注意的是,BingeChat 和 Chatico 都沒有出現在 Google Play 商店中,因此使用者應該要格外小心,避免從不受信任的網站下載應用程式。

我們將繼續持續監視這種惡意活動,並將我們的發現分享給公眾,以提高大家的網路安全意識。同時,我們也呼籲所有的 Android 使用者,只從官方商店下載應用程式,並定期更新手機和應用程式,以防止被 GravityRAT 這類的間諜軟件攻擊。

About Version 2

Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。

Android GravityRAT 外掛程式攻擊 WhatsApp 備份檔案

ESET 研究人員近期發現,一種名為 Android GravityRAT 的間諜軟件已經更新,並以即時通訊應用程式 BingeChat 和 Chatico 的形式散播。GravityRAT 是一種遠端存取工具,自 2015 年以來就被確定用於針對印度的特定攻擊。然而,至今我們仍不知道 GravityRAT 的幕後黑手是誰,我們內部將這個團體暫時稱為 SpaceCobra。

值得注意的是,我們最近發現了 GravityRAT 可以偷取 WhatsApp 備份並接收刪除文件的指令,這些惡意應用程式也利用開源應用程式 OMEMO Instant Messenger 提供了合法的聊天功能。

首先,我們發現了一種新版的 Android GravityRAT 間諜軟件,該軟件偽裝成合法的開源 OMEMO Instant Messenger Android 應用程式並進行散播。其次,被植入木馬的 BingeChat 應用程式可以從一個免費網站下載。最後,最新版本的 GravityRAT 增加了兩項新功能:接收刪除檔案的命令和偷取 WhatsApp 備份檔案。

我們不確定受害者是如何被引導,或是如何發現這個惡意網站的。考慮到下載該應用程式需要有帳號,而我們又無法註冊新帳號,我們認為潛在的受害者可能是特定的目標。

GravityRAT分配機制

至於受害者的情況,根據 ESET 的遙測數據,我們並未發現有任何 BingeChat 活動的受害者,這進一步暗示這個活動可能只針對特定的目標。然而,我們的遙測數據在 2022 年 6 月確實偵測到印度一個 Android GravityRAT 的樣本,GravityRAT 則是以 Chatico 的形式出現。

總的來說,自 2015年 以來一直活躍的 SpaceCobra,已將 GravityRAT 更新,並增加了額外的功能,從 C&C 伺服器接收刪除檔案的指令,以偷取 WhatsApp Messenger 的備份。就如同以往一樣,這次的活動也利用了即時通訊應用程式的開源項目(OMEMO Instant Messenger)來構建其木馬化的應用程式。尤其需要注意的是,BingeChat 和 Chatico 都沒有出現在 Google Play 商店中,因此使用者應該要格外小心,避免從不受信任的網站下載應用程式。

我們將繼續持續監視這種惡意活動,並將我們的發現分享給公眾,以提高大家的網路安全意識。同時,我們也呼籲所有的 Android 使用者,只從官方商店下載應用程式,並定期更新手機和應用程式,以防止被 GravityRAT 這類的間諜軟件攻擊。

About Version 2

Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。