Siber güvenlik firmayı ESET,  WhatsApp yedekleme dosyalarını çalan ve dosyaları silmek için komutlar alabilen Android GravityRAT ajan yazılımının aktüellenmiş bir versiyonunu çözümleydi. 

ESET analistleri, Android tabanlı GravityRAT ajan yazılımının BingeChat ve Chatico iletileşme uygulamaları olarak dağıtılan aktüellenmiş bir versiyonunu tespit etti. Hindistan ’daki kullanıcıları hedef alan hücumlarda kullanılan bir uzaktan ulaşım taşıtı olan GravityRAT ’in Windows, Android ve macOS versiyonları bulunuyor. GravityRAT ’in artta kim olduğu öğrenilmiyor; ESET Research, SpaceCobra olarak öğrenilen grubu izliyor. Büyük ihtimalle Ağustos 2022 ’den beri etkin olan BingeChat kampanyası hala devam ediyor. Yeni keşfedilen kampanyada GravityRAT, WhatsApp yedeklemelerine sızabiliyor ve dosyaları silmek için komut alabiliyor. Makûs emelli uygulamalar ayrıca sarih kaynaklı OMEMO Instant Messenger uygulamasında bulunan legal sohbet işlevselliği de sağlıyor.

Daha evvel belgelenen SpaceCobra kampanyalarında olduğu gibi, Chatico kampanyası da Hindistan ’daki bir kullanıcıyı hedef aldı. BingeChat uygulaması, kayıt yaptırmak gereken bir web sitesi aracılığıyla dağıtılıyor. Büyük olasılıkla uygulama, saldırganlar bekledikleri muhakkak kurbanların, muhtemelen muhakkak bir IP adresi, coğrafi konum, özel URL veya muhakkak bir zaman dilimi içinde ziyaret ettiğinde açılıyor. Kampanyanın muhakkak hedeflere müteveccih olduğu düşünülüyor.

Makûs emelli yazılımları inceleyen ESET tahlilcisi Lukáš Štefanko bu mevzuda şunları söyledi: “UYGULAMAYI İNDİR düğmesine değdikten sonra makûs emelli uygulama gönderen bir web sitesi bulduk; ancak ziyaretçilerin seans açmasını gerektiriyor. Kimlik bilgilerimiz yoktu ve kayıt olamadık. Cerrahların kayıtları sadece bekledikleri muhakkak bir kurbanın, muhtemelen muhakkak bir IP adresi, coğrafi konum, özel URL veya muhakkak bir zaman dilimi içinde ziyaret ettiğinde açıldığını düşünüyoruz. BingeChat uygulamasını web sitesi üzerinden indirememiş olsak da, VirusTotal ’da bir dağıtım URL ’si bulabildik.” Makûs emelli uygulamaya Google Play store üzerinden ulaşım sağlanamıyor.

Potansiyel kurbanlar hedef alınıyor

ESET Research, potansiyel kurbanların makûs emelli web sitesine girmesi için nasıl aldatıldığını veya hangi yollarla keşfedildiğini tanımlayamadı. Araştırma sırasında uygulamayı indirmenin hesap sahibi olma koşuluna bağlı olduğunu ve yeni hesap kaydının olası olmadığını göz önünde bulunduran ESET, potansiyel kurbanların özellikle hedef alındığına inanıyor. 

Facebook analistleri, Cisco Talos tarafından daha evvel hipotez edildiği gibi GravityRAT ’i Pakistan merkezli bir gruba bağlasa da, makûs emelli yazılımın arttaki grup öğrenilmiyor. ESET bu grubu SpaceCobra ismiyle izliyor. BingeChat ve  Chatico kampanyalarını bu gruba bağlıyor. 

Uygulamanın legal işlevselliğinin bir parçası olarak, bir hesap oluşturma ve seans açma alternatifi sunuluyor. Kullanıcı uygulamaya giriş yapmadan evvel GravityRAT, C&C sunucusuyla etkileşime geçerek aygıt kullanıcısının bilgilerine sızmaya başlıyor ve komutların yürütülmesini bekliyor. GravityRAT arama kayıtları, birey listesi, SMS iletileri, aygıt konumu, temel aygıt bilgileri ve fotoğraflar, resimler ve dokümanlar için muhakkak uzantılara sahip dosyalara sızabiliyor. GravityRAT ’in bu versiyonu, GravityRAT ’in öğrenilen evvelki versiyonlarına mukayeseyle iki aktüellemeye sahip: WhatsApp yedeklemelerine sızma ve dosyaları silmek için komut alma.

Kaynak: BYZHA Beyaz Haber Ajansı