adlı bir Android uzaktan erişim truva atının güncellenmiş bir sürümü YerçekimiRAT Haziran 2022’den bu yana dar hedefli bir kampanyanın parçası olarak mesajlaşma uygulamaları BingeChat ve Chatico kılığına girdiği tespit edildi.
ESET araştırmacısı Lukáš Štefanko bugün yayınlanan yeni bir raporda, “Yeni keşfedilen kampanyada dikkat çeken GravityRAT, WhatsApp yedeklerini sızdırabilir ve dosyaları silmek için komutlar alabilir.” Dedi.
“Kötü amaçlı uygulamalar, açık kaynaklı OMEMO Instant Messenger uygulamasına dayalı meşru sohbet işlevi de sağlıyor.”
GravityRAT, Windows, Android ve macOS cihazlarını hedef alabilen, platformlar arası bir kötü amaçlı yazılıma verilen addır. Slovak siber güvenlik firması, etkinliği SpaceCobra adı altında takip ediyor.
Geçtiğimiz ay Meta tarafından ifşa edildiği üzere, tehdit aktörünün Pakistan merkezli olduğundan şüpheleniliyor.
Sohbet uygulamalarının kötü amaçlı yazılımı dağıtmak için yem olarak kullanıldığı daha önce Kasım 2021’de Hindistan’dan VirusTotal veritabanına yüklenen “SoSafe Chat” adlı bir örneği analiz eden Cyble tarafından vurgulanmıştı.
Sohbet uygulamaları, Google Play’de bulunmamakla birlikte, ücretsiz mesajlaşma hizmetlerini tanıtan hileli web siteleri aracılığıyla dağıtılmaktadır: bingechat[.]ağ ve sinir bozucu[.]ortak[.]İngiltere
Meta, “Bu grup, hedefledikleri insanlarla güven inşa etme girişiminde, hem meşru hem de sahte savunma şirketleri ve hükümetler, askeri personel, gazeteciler ve romantik bir bağ kurmak isteyen kadınlar için işe alım görevlisi gibi görünen hayali kişilikler kullandı” dedi. Üç Aylık Düşman Tehdit Raporu.
Çalışma tarzı, potansiyel hedeflerle Facebook ve Instagram’da bağlantılara tıklamaları ve kötü amaçlı uygulamaları indirmeleri için onları kandırmak amacıyla iletişim kurulmasını önerir.
GravityRAT, çoğu Android arka kapısı gibi, kurbanın bilgisi olmadan kişiler, SMS’ler, arama günlükleri, dosyalar, konum verileri ve ses kayıtları gibi hassas bilgileri toplamak için görünüşte meşru bir uygulama kisvesi altında müdahaleci izinler ister.
Yakalanan veriler nihayetinde tehdit aktörünün kontrolü altındaki bir uzak sunucuya sızar. Uygulamayı kullanmanın bir hesaba sahip olma şartına bağlı olduğunu belirtmekte fayda var.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
GravityRAT’ın yeni sürümünü öne çıkaran şey, WhatsApp yedekleme dosyalarını çalma ve arama günlüklerini, kişi listelerini ve belirli uzantılara sahip dosyaları silmek için komut ve kontrol (C2) sunucusundan talimatlar alma yeteneğidir.
Štefenko, “Bunlar, Android kötü amaçlı yazılımlarında tipik olarak görülmeyen çok özel komutlardır” dedi.
Bu gelişme, Vietnam’daki Android kullanıcılarının, hassas verileri sifonlamak ve erişilebilirlik hizmetlerini kötüye kullanarak yetkisiz fon transferleri gerçekleştirmek için Viber veya Kik gibi yasal mesajlaşma uygulamalarını kullanan HelloTeacher olarak bilinen yeni bir bankacılık ve cuma hırsızı kötü amaçlı yazılım türü tarafından mağdur edilmesiyle ortaya çıktı. API.
Ayrıca Cyble tarafından keşfedilen bir bulut madenciliği dolandırıcılığı, yalnızca kripto para birimi cüzdanlarından ve bankacılık uygulamalarından hassas bilgiler toplamak için erişilebilirlik hizmetlerine yönelik izinlerinden yararlanmak için “kullanıcılardan madenciliği başlatmak için kötü amaçlı bir uygulama indirmelerini ister”.
Kod adı Roamer olan mali truva atı, kimlik avı web sitelerini ve Telegram kanallarını dağıtım vektörleri olarak kullanma eğilimini örnekliyor ve böylece potansiyel kurban havuzunu etkili bir şekilde genişletiyor.
Cyble, “Kullanıcılar dikkatli olmalı ve Telegram gibi platformlardaki şüpheli kripto para madenciliği kanallarını takip etmekten kaçınmalıdır, çünkü bu kanallar önemli mali kayıplara yol açabilir ve hassas kişisel verileri tehlikeye atabilir.”