Группа хакеров, известная как SpaceCobra, разработала приложение для обмена мгновенными сообщениями, которое также может украсть много конфиденциальной информации с целевого устройства. Злоумышленник, кажется, точно знает, на кого он хочет нацелиться, поскольку загрузка приложения оказалась довольно сложной задачей для исследователей.
Исследователи кибербезопасности из ESET недавно обнаружили, что два приложения для обмена сообщениями, называемые BingeChat и Chatico, на самом деле обслуживали GravityRAT, троян для удаленного доступа. Эта RAT была способна извлечь большое количество конфиденциальной информации из скомпрометированных конечных точек, включая журналы вызовов, список контактов, SMS-сообщения, местоположение устройства, основную информацию об устройстве и файлы с определенными расширениями для изображений, фотографий и документов.
Нет присутствия в магазине приложений
Что отличает эти два приложения от других, предоставляющих GravityRAT, так это то, что они также могут красть резервные копии WhatsApp и получать команды для удаления файлов.
Способ распространения вредоносного ПО делает эту кампанию еще более уникальной. Приложения нельзя найти в магазинах приложений и, например, они никогда не загружались в Google Play. Вместо этого их можно загрузить, только посетив специально созданный веб-сайт и открыв учетную запись. Может, это и не кажется чем-то особенным, но исследователи из ESET не смогли открыть учетную запись, так как регистрация была «закрыта» при их посещении. Это побудило их сделать вывод, что группа очень точно нацелилась на определенное место или IP-адрес.
«Скорее всего, операторы открывают регистрацию только тогда, когда они ожидают посещения конкретной жертвы, возможно, с определенным IP-адресом, геолокацией, пользовательским URL-адресом или в течение определенного периода времени», — говорит исследователь ESET Лукаш Штефанко. «Хотя мы не смогли загрузить приложение BingeChat через веб-сайт, мы смогли найти URL-адрес распространения на VirusTotal», — добавляет он.
При этом большинство жертв, похоже, проживают в Индии. Нападавшие, SpaceCobra, по всей видимости, имеют пакистанское происхождение. Исследователи говорят, что кампания, скорее всего, активна с августа прошлого года, причем одна из двух (BingeChat) все еще активна. Вредоносное приложение, основанное на приложении OMEMO Instant Messenger с открытым исходным кодом, доступно для Windows, macOS и Android.