گزارش بدافزار BingeChat

یک حمله جدید بر روی گوشی‌های اندرویدی با استفاده از نسخه جدید بدافزار GravityRAT از ماه آگوست ۲۰۲۲ در حال گسترش است. این بدافزار با نام 'BingeChat' یک برنامه چت تروجانی شده است که سعی در سرقت اطلاعات از دستگاه های قربانی می کند. به گزارش لوکاس استفانکو، پژوهشگر ESET که پس از دریافت یک اطلاعات از تیم MalwareHunterTeam، نمونه را تحلیل کرد، یکی از افزوده های جدید قابل توجه در نسخه جدید GravityRAT سرقت فایل های پشتیبان WhatsApp است. فایل‌های پشتیبان WhatsApp برای کمک به کاربران برای انتقال تاریخچه پیام‌ها، فایل‌های چندرسانه‌ای و داده‌ها به دستگاه‌های جدید ایجاد می‌شوند، بنابراین ممکن است حاوی اطلاعات حساسی مانند متن، ویدئو، عکس، اسناد و غیره باشند.
GravityRAT, با استفاده از برنامه چت تروجانی 'BingeChat'، اقدام به نفوذ به دستگاه‌های اندرویدی کرده و سعی در سرقت اطلاعات حساس از آنها دارد. از جمله اطلاعاتی که GravityRAT هدف قرار می‌دهد، فایل‌های پشتیبان WhatsApp است که حاوی تاریخچه پیام‌ها، فایل‌های چندرسانه‌ای و داده‌های کاربران است.این بدافزار با نفوذ به گوشی‌ها، فایل‌های پشتیبان WhatsApp را سرقت می‌کند که به صورت روشن و بدون رمزنگاری قرار دارند. این فایل‌های پشتیبان ممکن است اطلاعات حساسی مانند مکالمات صوتی و تصویری، پیام‌های متنی، تصاویر، ویدئوها و سایر فایل‌های مرتبط با WhatsApp را شامل شوند. GravityRAT  از سال ۲۰۱۵ فعالیت خود را آغاز کرده است، اما برای اولین بار در سال ۲۰۲۰ به سوی سیستم‌عامل اندروید هدف گرفته است. اپراتورهای آن، با نام "SpaceCobra" شناخته می‌شوند و از این جاسوس اطلاعات به صورت انحصاری و در عملیات هدفمند استفاده می‌کنند. در حال حاضر، GravityRAT با نام "BingeChat" شناخته شده است و به عنوان یک برنامه چت با رمزنگاری نهایی به نهایی (end-to-end) با رابط کاربری ساده و قابلیت‌های پیشرفته معرفی می‌شود.
به گفته ESET، اپلیکیشن از طریق "bingechat[.]net" و احتمالاً دامنه‌ها و کانال‌های توزیع دیگری ارسال می‌شود، اما دانلود این اپلیکیشن بر اساس دعوت است و برای ورود کاربران نیاز به اعتبارهای معتبر یا ثبت نام در حساب جدید دارد. اگرچه ثبت نام‌ها در حال حاضر بسته شده است، این روش فقط به آنها امکان توزیع برنامه‌های مخرب به افراد هدف را می‌دهد. همچنین، برای پژوهشگران دسترسی به یک نسخه برای تحلیل دشوارتر می‌شود. اپراتورهای GravityRAT در سال ۲۰۲۱ با استفاده از یک اپلیکیشن چت به نام 'SoSafe' و قبل از آن با نام 'Travel Mate Pro'، فایل‌های APK مخرب اندروید را به افراد هدف ارسال کردند. استفانکو متوجه شده است که این اپلیکیشن یک نسخه تروجانی شده از OMEMO IM است، که یک اپلیکیشن لحظه‌ای متن‌باز و معتبر برای اندروید است. پس از بررسی بیشتر، تحلیلگر ESET متوجه شد که SpaceCobra از OMEMO IM به عنوان پایه برای یک اپلیکیشن جعلی دیگر به نام "Chatico" استفاده کرده است که در تابستان سال ۲۰۲۲ از طریق "chatico.co[.]uk" که در حال حاضر آفلاین است به افراد هدف توزیع شده است.

نمودار عملیاتی (ESET)

GravityRAT دارای قابلیت‌های زیر است:
پس از نصب برنامه BingeChat بر روی دستگاه هدف، این برنامه درخواست دسترسی به مجوزهای خطرناک را دارد که شامل دسترسی به مخاطبین، موقعیت مکانی، تلفن، پیامک، حافظه، سوابق تماس، دوربین و میکروفون است. این مجوزها برای برنامه‌های پیام‌رسان معمولی است و احتمالاً برای قربانی شبیه به یک عملکرد طبیعی به نظر می‌رسد و تشکیل شک و تردید نمی‌دهد.
قبل از ثبت نام کاربر در BingeChat، این برنامه سوابق تماس‌ها، لیست مخاطبین، پیامک‌ها، موقعیت دستگاه و اطلاعات پایه دستگاه را به سرور فرمان و کنترل (C2) تهدید ارسال می‌کند.
علاوه بر این، فایل‌های رسانه‌ای و اسناد با پسوندهای jpg، jpeg، log، png، PNG، JPG، JPEG، txt، pdf، xml، doc، xls، xlsx، ppt، pptx، docx، opus، crypt14، crypt12، crypt13، crypt18 و crypt32 نیز سرقت می‌شوند. پسوندهای فایل crypt به فایل‌های پشتیبانی از برنامه WhatsApp Messenger اشاره دارند که قبلاً ذکر شد.

استخراج داده ها از دستگاه قربانی (ESET)

یکی از ویژگی‌های قابل توجه دیگر GravityRAT قابلیت دریافت سه دستور از C2 است، به عبارتی "حذف همه فایل‌ها" (با یک پسوند مشخص شده)، "حذف همه مخاطبین" و "حذف همه سوابق تماس" است. اگرچه کمپین‌های SpaceCobra بسیار هدفمند و عمدتاً در هند متمرکز هستند، همه کاربران اندروید باید از دانلود فایل‌های APK از خارج از Google Play خودداری کرده و در هنگام نصب هر برنامه، درخواست‌های مجوزهای خطرناک را با احتیاط مورد بررسی قرار دهند.
بنابراین، توجه به امنیت دستگاه‌های اندرویدی و جلوگیری از نصب برنامه‌های مشکوک و ناشناس بسیار مهم است. همچنین، استفاده از راهکارهای امنیتی مانند برنامه‌های آنتی‌ویروس و بروزرسانی منظم سیستم‌عامل اندروید نیز توصیه می‌شود تا به حفاظت از اطلاعات شخصی و حساس خود بپردازید.

 مراجع