Новое вредоносное ПО похищает конфидент из целевых устройств

Группа хакеров SpaceCobra разработала приложение для обмена мгновенными сообщениями, которое крадет конфидент с целевого устройства.

Новое вредоносное ПО похищает конфидент из целевых устройств. Фото: СС0

Исследователи кибербезопасности из ESET недавно обнаружили, что два приложения обмена сообщениями под названием BingeChat и Chatico, на самом деле обслуживали GravityRAT. Это троян для удаленного доступа (RAT), который способен извлечь большое количество конфиденциальной информации из скомпрометированных конечных точек, включая журналы вызовов, список контактов, SMS-сообщения, местоположение устройства, основную информацию об устройстве и файлы с определенными расширениями изображений, фотографий и документов.

Оба приложения также могут красть резервные копии WhatsApp* и получать команды для удаления файлов.

Способ распространения вредоносного ПО делает эту кампанию уникальной. Троянизированное ПО нельзя найти в магазинах приложений, они никогда не загружалось в Google Play. Установить приложения можно только посетив специально созданный веб-сайт и зарегистрировав учетную запись.

Исследователи из ESET не смогли сделать это, так как регистрация была «закрыта» при их посещении. Вероятно, группа очень нацелилась на жертв из определенного региона или диапазона IP-адресов и фильтрует жертв.

Из сообщения исследователей безопасности:

«Скорее всего, операторы открывают регистрацию только тогда, когда они ожидают посещения конкретной жертвы, возможно, с определенным IP-адресом, геолокацией, пользовательским URL-адресом или в течение определенного периода времени. Хотя мы не смогли загрузить приложение BingeChat через веб-сайт, мы смогли найти URL-адрес распространения на VirusTotal».

Исследователи говорят, что троянизированное ПО распространяется с августа прошлого года. Зловред рассчитан на пользователей устройств под Windows, macOS и Android.

* WhatsApp является продуктом корпорации Meta, признанной экстремистской и запрещенной в РФ.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме