Nainštalovali ste si do svojho smartfónu novú chatovaciu aplikáciu, ako BingeChat a Chatico? Vašou odpoveďou bude takmer s istotou “nie”. No výskumníci zo spoločnosti ESET odhalili, že tieto aplikácie obsahujú špionážny softvér menom GravityRAT. Je súčasťou vysoko cielenej kampane a vás tieto aplikácie pravdepodobne obídu. Čoho všetkého je tento vírus schopný?
Spyware má vyhliadnuté konkrétne obete
Vyššie spomenuté aplikácie sú určené pre operačné systémy Android, Windows a macOS. GravityRAT, ktorý je v aplikáciách obsiahnutý, je nástroj na vzdialený prístup. Jeho autor je neznámy. Tento nástroj je podľa slov firmy ESET schopný exfiltrovať zálohy aplikácie WhatsApp a prijímať príkazy na vymazanie súborov. Škodlivé aplikácie BingeChat a Chatico obsahujú aj legitímne funkcie klasického chatu, ktoré sú založené na aplikácii OMEMO Instant Messenger.
Chatico bolo primárne zamerané na používateľov z Indie. BingeChat sa potom šíri prostredníctvom webovej stránky, na ktorej sa musí používateľ zaregistrovať. Pokračovať ďalej môžu iba konkrétne obete. Tie útočník spozná pomocou ich IP adresy, zemepisnej polohy, vlastnou URL alebo im povolí prístup iba v konkrétnom časovom rozmedzí. Kampaň je očividne vysoko cielená.
„Našli sme webovú stránku, ktorá má poskytnúť škodlivú aplikáciu po kliknutí na tlačidlo DOWNLOAD APP. Od návštevníkov však vyžaduje prihlásenie. Nemali sme prihlasovacie údaje a registrácia bola uzavretá. Je veľmi pravdepodobné, že prevádzkovatelia otvárajú registráciu len vtedy, keď očakávajú návštevu konkrétnej obete, prípadne s konkrétnou IP adresou, geolokáciou, vlastnou URL adresou alebo v konkrétnom čase.
Hoci sa nám nepodarilo stiahnuť aplikáciu BingeChat cez webovú stránku, na VirusTotal sa nám podarilo nájsť distribučnú URL adresu.“
výskumník spoločnosti ESET, Lukáš Štefanko
Škodlivá aplikácia nebola nikdy sprístupnená v obchode Google Play.
