WhatsApp kullanıcıları, Android akıllı telefonlarına indirdiklerine çok dikkat etmelidir. ESET araştırmacıları, BingeChat ve Chatico mesajlaşma uygulamalarının virüslü sürümlerinde saklanan GravityRAT casus yazılımının yeni bir Android sürümünü tespit etti. Özellikle KOBİ'ler, WhatsApp dahil özel akıllı telefonları da kullanmayı sevdikleri için dikkatli olunması gerekiyor.
Soruşturma altındaki vakada, kötü niyetli uygulama WhatsApp yedeklerini çalıyor ve ayrıca cihazlardaki dosyaları silebilir. Uygulama, hemen fark edilmemek için açık kaynaklı OMEMO Instant Messenger uygulamasına dayalı yasal sohbet işlevi sunar. ESET, muhtemelen Ağustos 2022'den beri aktif olan bu kampanyanın arkasında SpaceCobra grubundan şüpheleniyor.
Hedefli saldırılarda kullanılır
Kötü amaçlı BingeChat uygulaması, kayıt gerektiren ve muhtemelen yalnızca saldırganlar belirli kurbanların onu ziyaret etmesini beklediğinde açılabilecek bir web sitesi aracılığıyla dağıtılıyor. "UYGULAMAYI İNDİR düğmesine dokunduktan sonra kötü amaçlı uygulamayı sağlaması gereken bir web sayfası bulduk.
Ancak bunun için ziyaretçilerin kayıt olması gerekmektedir. Ancak, giriş bilgimiz yoktu ve kayıt kapatıldı. Operatörlerin yalnızca belirli bir kurbanın ziyaret etmesini beklediklerinde kayıt sağladığını varsayıyoruz. ESET araştırmacısı Lukas Stefanko, potansiyel hedeflerin belirli bir IP adresine, coğrafi konuma, özel URL'ye veya web sitesini belirli bir zamanda ziyaret etmeye ihtiyaç duyabileceğini söylüyor. Uygulama hiçbir zaman Google Play Store'da kullanıma sunulmadı.
Hileli Chatico uygulaması Hindistan'daki bir kullanıcıyı hedef aldı. Genel olarak, ESET araştırmacıları, kampanyanın çok hedefli olduğundan ve dikkatlice seçilmiş hedeflere saldırıldığından şüpheleniyor.
Kampanyanın arkasındaki aktörler belirsiz
Kötü amaçlı yazılımın arkasındaki grup bilinmiyor. Facebook araştırmacıları ve Cisco Tales uzmanları, GravityRAT'ı Pakistan merkezli bir grupla ilişkilendiriyor. ESET bunları SpaceCobra adı altında izler ve hem BingeChat hem de Chatico kampanyalarını bu gruba kadar takip eder.
Uygulamaların meşru işlevselliğinin bir parçası olarak, hesap oluşturma ve kaydolma seçenekleri sunarlar. Kullanıcı uygulamada oturum açmadan önce GravityRAT, C&C sunucusuyla etkileşime girerek cihaz kullanıcısının verilerini çalmaya ve komutların yürütülmesini beklemeye başlar. GravityRAT, arama günlüklerini, kişi listelerini, SMS mesajlarını, cihaz konumunu, temel cihaz bilgilerini ve resimler, fotoğraflar ve belgeler için belirli uzantılara sahip dosyaları arayabilir ve sızdırabilir. GravityRAT'ın bu sürümü, GravityRAT'ın genel olarak bilinen önceki sürümlerine kıyasla iki küçük güncellemeye sahiptir: WhatsApp yedeklerinin sızması ve dosyaları silmek için komut alma.
B2B CYBER SECURITY, GravityRAT için sohbet GPT'si istedi
İşte ChatGPT'nin GravityRAT hakkında bilmek istediği şey.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.