Une nouvelle campagne de logiciels malveillants Android diffusant la dernière version de GravityRAT est en cours depuis août 2022, infectant les appareils mobiles avec une application de chat trojanisée nommée « BingeChat », qui tente de voler les données des appareils des victimes.
Selon le chercheur d’ESET, Lukas Stefanko, qui a analysé un échantillon après avoir reçu un conseil de MalwareHunterTeam, l’un des nouveaux ajouts notables repérés dans la dernière version de GravityRAT vole les fichiers de sauvegarde de WhatsApp.
Les sauvegardes WhatsApp sont créées pour aider les utilisateurs à transférer leur historique de messages, leurs fichiers multimédias et leurs données sur de nouveaux appareils, afin qu’ils puissent contenir des données sensibles telles que du texte, des vidéos, des photos, des documents, etc., le tout sous forme non cryptée.
GravityRAT est actif depuis au moins 2015 mais a commencé à cibler Android pour la première fois en 2020. Ses opérateurs, « SpaceCobra », utilisent le logiciel espion exclusivement et dans des opérations de ciblage étroit.
Campagne Android actuelle
Le logiciel espion est diffusé sous le nom de « BingeChat », soi-disant une application de chat cryptée de bout en bout avec une interface simple mais des fonctionnalités avancées.
ESET indique que l’application est livrée via « bingechat[.]net » et éventuellement d’autres domaines ou canaux de distribution, mais le téléchargement est basé sur une invitation, obligeant les visiteurs à saisir des informations d’identification valides ou à créer un nouveau compte.
Alors que les inscriptions sont actuellement fermées, cette méthode leur permet uniquement de distribuer les applications malveillantes aux personnes ciblées. Il est également plus difficile pour les chercheurs d’accéder à une copie pour analyse.
La promotion d’APK Android malveillants vers des cibles est une tactique que les opérateurs de GravityRAT ont de nouveau employée en 2021, en utilisant une application de chat appelée « SoSafe » et, avant cela, une autre nommée « Travel Mate Pro ».
Stefanko a découvert que l’application est une version trojanisée d’OMEMO IM, une application de messagerie instantanée open source légitime pour Android.
En creusant plus loin, l’analyste d’ESET a découvert que SpaceCobra avait utilisé OMEMO IM comme base pour une autre fausse application nommée « Chatico », qui a été distribuée aux cibles à l’été 2022 via le « chatico.co[.]uk » désormais hors ligne.
Capacités GravityRAT
BingeChat demande des autorisations risquées lors de son installation sur l’appareil de la cible, y compris l’accès aux contacts, à l’emplacement, au téléphone, aux SMS, au stockage, aux journaux d’appels, à la caméra et au microphone.
Ce sont des autorisations standard pour les applications de messagerie instantanée, il est donc peu probable qu’elles éveillent des soupçons ou paraissent anormales à la victime.
Avant que l’utilisateur ne s’enregistre dans BingeChat, l’application envoie les journaux d’appels, les listes de contacts, les messages SMS, l’emplacement de l’appareil et les informations de base sur l’appareil au serveur de commande et de contrôle (C2) de l’auteur de la menace.
En outre, les fichiers multimédias et de documents jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18 et types crypt32, sont également volés.
Les extensions de fichier cryptées correspondent aux sauvegardes de WhatsApp Messenger mentionnées précédemment.
Une autre nouvelle fonctionnalité notable de GravityRAT est sa capacité à recevoir trois commandes du C2, à savoir « supprimer tous les fichiers » (d’une extension spécifiée), « supprimer tous les contacts » et « supprimer tous les journaux d’appels ».
Alors que les campagnes de SpaceCobra sont très ciblées et se concentrent généralement sur l’Inde, tous les utilisateurs d’Android doivent éviter de télécharger des APK en dehors de Google Play et être prudents avec les demandes d’autorisation risquées lors de l’installation d’une application.