adlı bir Android uzaktan erişim truva atının güncellenmiş bir sürümü YerçekimiRAT Haziran 2022’den bu yana dar hedefli bir kampanyanın parçası olarak mesajlaşma uygulamaları BingeChat ve Chatico kılığına girdiği tespit edildi.
ESET araştırmacısı Lukáš Štefenko, “Yeni keşfedilen kampanyada dikkate değer olan GravityRAT, WhatsApp yedeklerini sızdırabilir ve dosyaları silmek için komutlar alabilir.” söz konusu bugün yayınlanan yeni bir raporda.
“Kötü amaçlı uygulamalar ayrıca açık kaynağa dayalı meşru sohbet işlevi sağlar. OMEMO Anlık Mesajlaşma uygulaması.”
GravityRAT, Windows, Android ve macOS cihazlarını hedef alabilen, platformlar arası bir kötü amaçlı yazılıma verilen addır. Slovak siber güvenlik firması, etkinliği SpaceCobra adı altında takip ediyor.
Geçtiğimiz ay Meta tarafından ifşa edildiği üzere, tehdit aktörünün Pakistan merkezli olduğundan şüpheleniliyor.
Sohbet uygulamalarının kötü amaçlı yazılımı dağıtmak için yem olarak kullanıldığı daha önce Kasım 2021’de Cyble tarafından vurgulanmıştı. analiz edildi Hindistan’dan VirusTotal veritabanına yüklenen “SoSafe Chat” adlı bir örnek.
Sohbet uygulamaları, Google Play’de bulunmamakla birlikte, ücretsiz mesajlaşma hizmetlerini tanıtan hileli web siteleri aracılığıyla dağıtılmaktadır: bingechat[.]net ve chatico[.]ortak[.]İngiltere
Meta, “Bu grup, hedefledikleri insanlarla güven inşa etme girişiminde, hem meşru hem de sahte savunma şirketleri ve hükümetler, askeri personel, gazeteciler ve romantik bir bağ kurmak isteyen kadınlar için işe alım görevlisi gibi görünen hayali kişilikler kullandı” dedi. Üç Aylık Düşman Tehdit Raporu.
Çalışma tarzı, potansiyel hedeflerle Facebook ve Instagram’da bağlantılara tıklamaları ve kötü amaçlı uygulamaları indirmeleri için onları kandırmak amacıyla iletişim kurulmasını önerir.
GravityRAT, çoğu Android arka kapısı gibi, kurbanın bilgisi olmadan kişiler, SMS’ler, arama günlükleri, dosyalar, konum verileri ve ses kayıtları gibi hassas bilgileri toplamak için görünüşte meşru bir uygulama kisvesi altında müdahaleci izinler ister.
Yakalanan veriler nihayetinde tehdit aktörünün kontrolü altındaki bir uzak sunucuya sızar. Uygulamayı kullanmanın bir hesaba sahip olma şartına bağlı olduğunu belirtmekte fayda var.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
GravityRAT’ın yeni sürümünü öne çıkaran şey, WhatsApp yedekleme dosyalarını çalma ve arama günlüklerini, kişi listelerini ve belirli uzantılara sahip dosyaları silmek için komut ve kontrol (C2) sunucusundan talimatlar alma yeteneğidir.
Štefenko, “Bunlar, Android kötü amaçlı yazılımlarında tipik olarak görülmeyen çok özel komutlar,” dedi.
Gelişme, Vietnam’daki Android kullanıcılarının yeni bir bankacılık ve cuma hırsızlığı kötü amaçlı yazılımı türü tarafından mağdur edilmesiyle ortaya çıktı. Merhaba öğretmenim Erişilebilirlik hizmetleri API’sini kötüye kullanarak hassas verileri ele geçirmek ve yetkisiz fon transferleri gerçekleştirmek için Viber veya Kik gibi yasal mesajlaşma uygulamalarını bir kılıf olarak kullanan.
Ayrıca Cyble tarafından keşfedilen bir bulut madenciliği dolandırıcılığı, yalnızca kripto para birimi cüzdanlarından ve bankacılık uygulamalarından hassas bilgiler toplamak için erişilebilirlik hizmetlerine yönelik izinlerinden yararlanmak için “kullanıcılardan madenciliği başlatmak için kötü amaçlı bir uygulama indirmelerini ister”.
Roamer kod adlı mali truva atı, kimlik avı web sitelerini ve Telegram kanallarını dağıtım vektörleri olarak kullanma eğilimini örnekliyor ve böylece potansiyel kurban havuzunu etkili bir şekilde genişletiyor.
Cyble, “Kullanıcılar dikkatli olmalı ve Telegram gibi platformlarda şüpheli kripto para madenciliği kanallarını takip etmekten kaçınmalıdır, çünkü bu kanallar önemli mali kayıplara yol açabilir ve hassas kişisel verileri tehlikeye atabilir.” söz konusu.
