WhatsApp ユーザーは、Android スマートフォンに何をダウンロードするかに細心の注意を払う必要があります。 ESET の研究者は、感染したバージョンの BingeChat および Chatico メッセージング アプリに隠れている新しい Android バージョンの GravityRAT スパイウェアを検出しました。 特に中小企業はWhatsAppをはじめとする私用スマートフォンの利用も多く行っているため、注意が必要です。
調査中のケースでは、悪意のあるアプリが WhatsApp のバックアップを盗み、デバイス上のファイルを削除する可能性もあります。 すぐに気づかれないように、アプリはオープンソース アプリケーション OMEMO インスタント メッセンジャーに基づく正規のチャット機能を提供します。 ESET は、このキャンペーンの背後にスペースコブラ グループが存在すると考えており、おそらく 2022 年 XNUMX 月から活動していると考えられます。
標的型攻撃に使用される
悪意のある BingeChat アプリは、登録を必要とする Web サイト経由で配布され、攻撃者が特定の被害者がアクセスすると予想した場合にのみ開かれる可能性があります。 「アプリのダウンロード ボタンをタップした後に、悪意のあるアプリを提供する Web ページが見つかりました。
ただし、訪問者はこれに登録する必要があります。 ただし、ログイン情報がなかったため、登録は終了しました。 事業者は特定の被害者が訪れると予想される場合にのみ登録を行うものと想定しております。 潜在的なターゲットには、特定の IP アドレス、位置情報、カスタム URL が必要な場合や、特定の時間に Web サイトにアクセスする必要がある場合があります」と ESET 研究者のルーカス ステファンコ氏は述べています。 このアプリは Google Play ストアで利用可能になることはありませんでした。
不正操作された Chatico アプリはインドのユーザーをターゲットにしていました。 全体として、ESET の研究者は、このキャンペーンは非常に標的を絞っており、慎重に選ばれた標的が攻撃されているのではないかと考えています。
キャンペーンの背後にいる人物は不明
マルウェアの背後にあるグループは依然として不明です。 Facebook の研究者と Cisco Tales の専門家は、GravityRAT はパキスタンに拠点を置くグループによるものであると考えています。 ESET は、SpaceCobra という名前でこれらを監視し、BingeChat キャンペーンと Chatico キャンペーンの両方をこのグループに追跡します。
アプリの正当な機能の一部として、アカウントの作成とサインアップのオプションが提供されます。 ユーザーがアプリにログインする前に、GravityRAT は C&C サーバーとの対話を開始し、デバイス ユーザーのデータを盗み、コマンドが実行されるのを待ちます。 GravityRAT は、通話記録、連絡先リスト、SMS メッセージ、デバイスの位置情報、基本的なデバイス情報、および画像、写真、ドキュメントの特定の拡張子を持つファイルを検索して抽出できます。 このバージョンの GravityRAT には、以前の公に知られているバージョンの GravityRAT と比較して、WhatsApp バックアップの漏洩と、ファイルを削除するコマンドの受信という XNUMX つの小さな更新があります。
B2B CYBER SECURITY が GravityRAT のチャット GPT を要求しました
ChatGPT が GravityRAT について知りたいことは次のとおりです。
詳細はESET.comで
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。