Tieto Android aplikácie môžu kradnúť vaše správy z WhatsAppu, hlásia experti. Vyhnite sa im!
Bezpečnostní analytici z ESET usúdili, že hackeri si vyberajú veľmi špecifické obete.
Bezpečnostní experti z ESETu identifikovali aktualizovanú verziu Android spywaru GravityRAT, ktorý existuje najmenej od roku 2015. Škodlivý softvér sa nachádza vo falošných četovacích aplikáciách ako napríklad BingeChat alebo Chatico. Okrem Android zariadení existuje verzia spywaru aj pre operačné systémy Windows a macOS.
Zatiaľ nie je známe, kto za šírením spywaru stojí, no experti sledujú skupinu, ktorej dali prezývku „SpaceCobra“. Útoky rozdelili do niekoľkých hackerských kampaní. Aplikácia BingeChat sa objavila v auguste minulého roku a stále je dostupná na stiahnutie. Hackeri ju distribuujú hlavne cez webstránku, ktorá ponúka četovacie služby zdarma.
Ako sme už spomenuli, bezpečnostní analytici registrovali aktualizovanú verziu spywaru, ktorá po novom dokáže útočníkom poslať zálohu WhatsApp správ a dokáže vymazať rôzne súbory. Obete si aplikáciu so škodlivým softvérom stiahli z portálu „bingechat.net“, ktorá ponúka okrem četovania aj množstvo ďalších funkcií. No dostupná môže byť aj cez iné kanály. Po kliknutí na tlačidlo stiahnuť si stránka vyžaduje prihlasovacie údaje, no zaujímavé je, že neponúka možnosť registrácie.
Bezpečnostní analytici sa domnievajú, že môže ísť o formu cieleného útoku. Možnosť registrovania nového účtu sprístupnia len vtedy, ak stránku navštívi špecifická obeť. Tú spoznajú s najväčšou pravdepodobnosťou na základe IP adresy alebo polohy, či špecifickej URL adresy. Nevylučuje sa ani to, že hackeri otvárajú registrácie v určitý čas.
Podvodnú aplikáciu BingeChat v Obchode play nenájdete a rovnako existuje celkom veľká pravdepodobnosť, že si ju ani nestiahnete, ak samozrejme nie ste terčom útoku. Experti z ESETu vysvetlili, že aplikácia BingeChat skutočne ponúka možnosť posielania správ, no hackeri túto funkcionalitu ukradli z open source aplikácie OMEMO Instant Messenger.
Neprehliadnite
Kto je terčom pre hackerov?
Čo sa samotného útoku týka, ESET zatiaľ nemá informácie o tom ako obete podvodnú aplikáciu získali, alebo ako ich hackeri nalákali na podvodný portál. Ako sme už spomenuli, stiahnutie aplikácie si vyžaduje existujúci účet a registrácie nie sú vždy prístupné. Hackeri si teda môžu špecificky vyberať pre nich zaujímavé obete. ESET podotýka, že výber hackerov je pravdepodobne mimoriadne úzky. No rovnako môžu útočníci cieliť aj na širšie publikum pomocou dobre cielených kampaní. Presný modus operandi útočníkov nie je nateraz známy.
Experti aktuálne nevedia povedať, či táto kampaň hackerov bola úspešná alebo nie vzhľadom na to, že sa im nepodarilo identifikovať obete útoku. Šírenie malvéru GravityRAT si však všimli minulý rok v Indii. V tomto prípade ale nešlo o aplikáciu BingeChat, ale o Chatico. Momentálne experti z ESETu monitorujú hlavne šírenie aplikácie BingeChat.
Zatiaľ sa nevie, aká hackerská skupina môže za kampaňou stáť. Viacerí experti sa však domnievajú, že môže ísť o hackerov z Pakistanu. Funkcie spywaru GravityRAT sa spájajú so špecifickou časťou kódu, ktorú ešte v roku 2020 identifikovali bezpečnostní analytici spoločnosti Kaspersky. V tomto prípade išlo o verziu GravityRAT malvéru na operačný systém Windows.
Povolenia, ktoré si infikovaná aplikácia žiada, sú až na jedno typické povolenia, ktoré by ste od četovacej aplikácie čakali. To pomáha hackerom utajiť prítomnosť škodlivého softvéru. Po inštalácii aplikácie začína spyware komunikovať s C&C serverom a začne zo zariadenia posielať dáta. Po novom dokáže získať prístup a ukradnúť šifrované zálohy konverzácií aplikácie WhatsApp.
Komentáre