SpaceCobra olarak bilinen bir bilgisayar korsanlığı grubu, hedef cihazdan pek çok hassas bilgiyi de çalabilen bir anlık mesajlaşma uygulaması geliştirdi. Uygulamayı indirmenin araştırmacılar için oldukça zor olduğu kanıtlandığından, tehdit aktörü tam olarak kimi hedeflemek istediğini biliyor gibi görünüyor.
ESET’ten siber güvenlik araştırmacıları kısa bir süre önce BingeChat ve Chatico adlı iki mesajlaşma uygulamasının aslında bir uzaktan erişim truva atı olan GravityRAT’a hizmet ettiğini keşfetti. Bu RAT, arama günlükleri, kişi listesi, SMS mesajları, cihaz konumu, temel cihaz bilgileri ve resimler, fotoğraflar ve belgeler için belirli uzantılara sahip dosyalar dahil olmak üzere güvenliği ihlal edilmiş uç noktalardan çok sayıda hassas bilgiyi sızdırma yeteneğine sahipti.
Uygulama mağazası varlığı yok
Bu iki uygulamayı GravityRAT sunan diğer uygulamalardan ayıran şey, bunların WhatsApp yedeklerini çalabilmesi ve dosyaları silmek için komutlar alabilmesidir.
Kötü amaçlı yazılımın dağıtılma şekli, bu kampanyayı daha da benzersiz kılıyor. Uygulamalar, uygulama mağazalarında bulunamaz ve örneğin hiçbir zaman Google Play’e yüklenmemiştir. Bunun yerine, yalnızca özel hazırlanmış bir web sitesini ziyaret ederek ve bir hesap açarak indirilebilirler. Bu kulağa özel bir şey gibi gelmeyebilir, ancak ESET’ten araştırmacılar ziyaret ettiklerinde kayıtlar “kapatıldığı” için bir hesap açamadılar. Bu, onları, grubun muhtemelen belirli bir konum veya IP adresini hedefleyerek hedefleme konusunda çok kesin olduğu sonucuna varmalarını sağladı.
ESET araştırmacısı Lukáš Štefenko, “Operatörlerin, yalnızca belirli bir kurbanın, muhtemelen belirli bir IP adresi, coğrafi konum, özel URL ile veya belirli bir zaman çerçevesi içinde ziyaret etmesini beklediklerinde kaydı açmaları büyük olasılıkla” diyor. “BingeChat uygulamasını web sitesi aracılığıyla indiremesek de VirusTotal’da bir dağıtım URL’si bulabildik” diye ekliyor.
Bununla birlikte, kurbanların çoğunun Hindistan’da ikamet ettiği görülüyor. Saldırganlar, SpaceCobra, görünüşe göre Pakistan kökenli. Araştırmacılar, kampanyanın büyük olasılıkla geçen yıl Ağustos ayından bu yana aktif olduğunu ve ikisinden birinin (BingeChat) hala aktif olduğunu söyledi. Açık kaynaklı OMEMO Instant Messenger uygulamasını temel alan kötü amaçlı uygulama, Windows, macOS ve Android için kullanılabilir.
