Eset araştırmacıları, Android tabanlı GravityRAT casus yazılımının BingeChat ve Chatico mesajlaşma uygulamaları olarak dağıtılan güncellenmiş bir sürümünü tespit etti. Hindistan’daki kullanıcıları hedef alan saldırılarda kullanılan bir uzaktan erişim aracı olan GravityRAT’in Windows, Android ve macOS sürümleri bulunuyor. GravityRAT’in arkasında kim olduğu bilinmiyor; Eset Research, SpaceCobra olarak malum grubu izliyor. Büyük olasılıkla Ağustos 2022’den beri etken olan BingeChat kampanyası hala devam ediyor. Yeni keşfedilen kampanyada GravityRAT, WhatsApp yedeklemelerine sızabiliyor ve dosyaları silmek için komut alabiliyor. Fena amaçlı uygulamalar ek olarak açık kaynaklı OMEMO Instant Messenger uygulamasında bulunan yasal söyleşi işlevselliği de sağlıyor.
Daha ilkin belgelenen SpaceCobra kampanyalarında olduğu benzer biçimde, Chatico kampanyası da Hindistan’daki bir kullanıcıyı hedef aldı. BingeChat uygulaması, kayıt yaptırmak ihtiyaç duyulan bir internet sayfası vasıtasıyla dağıtılıyor. Büyük olasılıkla uygulama, saldırganlar bekledikleri belirli kurbanların, muhtemelen belirli bir IP adresi, coğrafi konum, hususi URL yada belirli bir vakit dilimi içinde ziyaret ettiğinde açılıyor. Kampanyanın belirli hedeflere yönelik olduğu düşünülüyor.
Fena amaçlı yazılımları araştıran Eset araştırmacısı Lukáš Štefanko bu mevzuda şunları söylemiş oldu: “UYGULAMAYI İNDİR düğmesine dokunduktan sonrasında fena amaçlı uygulama yollayan bir internet sayfası bulduk; sadece ziyaretçilerin oturum açmasını gerektiriyor. Kimlik bilgilerimiz yoktu ve kayıt olamadık. Operatörlerin kayıtları yalnızca bekledikleri belirli bir kurbanın, muhtemelen belirli bir IP adresi, coğrafi konum, hususi URL yada belirli bir vakit dilimi içinde ziyaret ettiğinde açıldığını düşünüyoruz. BingeChat uygulamasını internet sayfası üstünden indirememiş olsak da, VirusTotal’da bir dağıtım URL’si bulabildik.” Fena amaçlı uygulamaya Google Play store üstünden erişim sağlanamıyor.
Potansiyel kurbanlar hedef alınıyor
ESET Research, potansiyel kurbanların fena amaçlı internet sayfasına girmesi için iyi mi kandırıldığını yada hangi yollarla keşfedildiğini belirleyemedi. Araştırma esnasında uygulamayı indirmenin hesap sahibi olma şartına bağlı bulunduğunu ve yeni hesap kaydının mümkün olmadığını göz önünde bulunduran ESET, potansiyel kurbanların bilhassa hedef alındığına inanıyor.
Feysbuk araştırmacıları, Cisco Talos tarafınca daha ilkin tahmin edilmiş olduğu benzer biçimde GravityRAT’i Pakistan merkezli bir gruba bağlasa da, fena amaçlı yazılımın arkasındaki grup bilinmiyor. ESET bu grubu SpaceCobra adıyla izliyor. BingeChat ve Chatico kampanyalarını bu gruba bağlıyor.
Uygulamanın yasal işlevselliğinin bir parçası olarak, bir hesap oluşturma ve oturum açma seçeneği sunuluyor. Kullanıcı uygulamaya giriş yapmadan ilkin GravityRAT, C&C sunucusuyla etkileşime geçerek aygıt kullanıcısının verilerine sızmaya başlıyor ve komutların yürütülmesini bekliyor. GravityRAT arama kayıtları, şahıs sıralaması, SMS mesajları, aygıt konumu, temel aygıt detayları ve resimler, fotoğraflar ve belgeler için belirli uzantılara haiz dosyalara sızabiliyor. GravityRAT’in bu versiyonu, GravityRAT’in malum önceki sürümlerine kıyasla iki güncellemeye haiz: WhatsApp yedeklemelerine sızma ve dosyaları silmek için komut alma.