Это опасное новое вредоносное ПО охотится за вашими резервными копиями WhatsApp
17 июня 2023 г.Группа хакеров, известная как SpaceCobra, разработала приложение для обмена мгновенными сообщениями, которое также может украсть большое количество конфиденциальной информации с целевого устройства. Злоумышленник, кажется, точно знает, кого он хочет атаковать, поскольку загрузка приложения оказалась для исследователей довольно сложной задачей.
Исследователи кибербезопасности из ESET недавно обнаружили, что два приложения для обмена сообщениями, называемые BingeChat и Chatico, на самом деле обслуживали GravityRAT, троян удаленного доступа. Эта RAT была способна извлекать большое количество конфиденциальной информации из скомпрометированных конечных точек, включая журналы вызовов, список контактов, SMS-сообщения, местоположение устройства, основную информацию об устройстве и файлы с определенными расширениями для изображений, фотографий и документов.
Нет присутствия в магазине приложений
Что отличает эти два приложения от других, предоставляющих GravityRAT, так это то, что они также могут красть резервные копии WhatsApp и получать команды для удаления файлов.
Способ распространения вредоносного ПО делает эту кампанию даже более уникальным. Приложения нельзя найти в магазинах приложений и, например, они никогда не загружались в Google Play. Вместо этого их можно загрузить, только посетив специально созданный веб-сайт и открыв учетную запись. Может, это и не кажется чем-то особенным, но исследователи из ESET не смогли открыть учетную запись, так как регистрация была «закрыта» при их посещении. Это побудило их сделать вывод, что группа была очень точна в своем таргетинге, возможно, выбирая определенное местоположение или IP-адрес.
«Скорее всего, операторы открывают регистрацию только тогда, когда они ожидают посещения конкретной жертвы, возможно, с определенным IP-адресом, геолокацией, пользовательским URL или в течение определенного периода времени», — говорит исследователь ESET Лукаш Штефанко. «Хотя мы не смогли загрузить приложение BingeChat через веб-сайт, мы смогли найти URL-адрес распространения на VirusTotal», — добавляет он.
При этом большинство жертв, похоже, проживают в Индии. Нападавшие, SpaceCobra, по всей видимости, имеют пакистанское происхождение. Исследователи говорят, что кампания, скорее всего, активна с августа прошлого года, причем одна из двух (BingeChat) все еще активна. Вредоносное приложение, основанное на приложении OMEMO Instant Messenger с открытым исходным кодом, доступно для Windows, macOS и Android.
- Познакомьтесь с лучшими брандмауэрами прямо сейчас
Оригинал