ಸೈಬರ್ ಸೆಕ್ಯುರಿಟಿ ಕಂಪನಿ ESET, WhatsApp ಬ್ಯಾಕಪ್ ಫೈಲ್ಗಳನ್ನು ಕದಿಯುವ ಮತ್ತು ಫೈಲ್ಗಳನ್ನು ಅಳಿಸಲು ಆಜ್ಞೆಗಳನ್ನು ಸ್ವೀಕರಿಸುವ Android GravityRAT ಸ್ಪೈವೇರ್ನ ನವೀಕರಿಸಿದ ಆವೃತ್ತಿಯನ್ನು ವಿಶ್ಲೇಷಿಸಿದೆ.
ESET ಸಂಶೋಧಕರು BingeChat ಮತ್ತು Chatico ಸಂದೇಶ ಅಪ್ಲಿಕೇಶನ್ಗಳಾಗಿ ವಿತರಿಸಲಾದ Android-ಆಧಾರಿತ GravityRAT ಸ್ಪೈವೇರ್ನ ನವೀಕರಿಸಿದ ಆವೃತ್ತಿಯನ್ನು ಪತ್ತೆಹಚ್ಚಿದ್ದಾರೆ. GravityRAT, ಭಾರತದಲ್ಲಿ ಬಳಕೆದಾರರನ್ನು ಗುರಿಯಾಗಿಸುವ ದಾಳಿಗಳಲ್ಲಿ ಬಳಸಲಾಗುವ ರಿಮೋಟ್ ಪ್ರವೇಶ ಸಾಧನವಾಗಿದ್ದು, Windows, Android ಮತ್ತು macOS ಆವೃತ್ತಿಗಳನ್ನು ಹೊಂದಿದೆ. GravityRAT ಹಿಂದೆ ಯಾರಿದ್ದಾರೆ ಎಂಬುದು ತಿಳಿದಿಲ್ಲ; ESET ಸಂಶೋಧನೆಯು SpaceCobra ಎಂದು ಕರೆಯಲ್ಪಡುವ ಗುಂಪನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತಿದೆ. ಆಗಸ್ಟ್ 2022 ರಿಂದ ಸಕ್ರಿಯವಾಗಿರುವ BingeChat ಅಭಿಯಾನವು ಇನ್ನೂ ಚಾಲ್ತಿಯಲ್ಲಿದೆ. ಹೊಸದಾಗಿ ಕಂಡುಹಿಡಿದ ಅಭಿಯಾನದಲ್ಲಿ, GravityRAT WhatsApp ಬ್ಯಾಕ್ಅಪ್ಗಳನ್ನು ಒಳನುಸುಳಬಹುದು ಮತ್ತು ಫೈಲ್ಗಳನ್ನು ಅಳಿಸಲು ಆಜ್ಞೆಗಳನ್ನು ಸ್ವೀಕರಿಸಬಹುದು. ದುರುದ್ದೇಶಪೂರಿತ ಅಪ್ಲಿಕೇಶನ್ಗಳು ಓಪನ್ ಸೋರ್ಸ್ OMEMO ಇನ್ಸ್ಟಂಟ್ ಮೆಸೆಂಜರ್ ಅಪ್ಲಿಕೇಶನ್ನಲ್ಲಿ ಕಂಡುಬರುವ ಕಾನೂನುಬದ್ಧ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಸಹ ಒಳಗೊಂಡಿರುತ್ತವೆ. sohbet ಇದು ಕ್ರಿಯಾತ್ಮಕತೆಯನ್ನು ಸಹ ಒದಗಿಸುತ್ತದೆ.
ಹಿಂದೆ ದಾಖಲಿಸಿದ SpaceCobra ಅಭಿಯಾನಗಳಂತೆ, Chatico ಅಭಿಯಾನವು ಭಾರತದಲ್ಲಿನ ಬಳಕೆದಾರರನ್ನು ಗುರಿಯಾಗಿಸಿಕೊಂಡಿದೆ. ನೋಂದಣಿ ಅಗತ್ಯವಿರುವ ವೆಬ್ಸೈಟ್ ಮೂಲಕ BingeChat ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ವಿತರಿಸಲಾಗುತ್ತದೆ. ಹೆಚ್ಚಾಗಿ, ಆಕ್ರಮಣಕಾರರು ನಿರ್ದಿಷ್ಟ IP ವಿಳಾಸ, ಭೌಗೋಳಿಕ ಸ್ಥಳ, ನಿರ್ದಿಷ್ಟ URL ಅಥವಾ ನಿರ್ದಿಷ್ಟ ಸಮಯದ ಚೌಕಟ್ಟಿನೊಳಗೆ ಅವರು ನಿರೀಕ್ಷಿಸುವ ನಿರ್ದಿಷ್ಟ ಬಲಿಪಶುಗಳನ್ನು ಭೇಟಿ ಮಾಡಿದಾಗ ಅಪ್ಲಿಕೇಶನ್ ತೆರೆಯಲಾಗುತ್ತದೆ. ಪ್ರಚಾರವು ನಿರ್ದಿಷ್ಟ ಗುರಿಗಳನ್ನು ಗುರಿಯಾಗಿರಿಸಿಕೊಂಡಿದೆ ಎಂದು ಭಾವಿಸಲಾಗಿದೆ.
ಮಾಲ್ವೇರ್ ಅನ್ನು ತನಿಖೆ ಮಾಡುವ ESET ಸಂಶೋಧಕ ಲುಕಾಸ್ ಸ್ಟೆಫಾಂಕೊ ಹೇಳಿದರು:
“ನಾವು ಡೌನ್ಲೋಡ್ ಅಪ್ಲಿಕೇಶನ್ ಬಟನ್ ಅನ್ನು ಟ್ಯಾಪ್ ಮಾಡಿದ ನಂತರ, ದುರುದ್ದೇಶಪೂರಿತ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ವಿತರಿಸುವ ವೆಬ್ಸೈಟ್ ಅನ್ನು ನಾವು ಕಂಡುಕೊಂಡಿದ್ದೇವೆ; ಆದರೆ ಸಂದರ್ಶಕರು ಲಾಗಿನ್ ಆಗುವ ಅಗತ್ಯವಿದೆ. ನಾವು ಗುರುತಿನ ಮಾಹಿತಿಯನ್ನು ಹೊಂದಿಲ್ಲ ಮತ್ತು ನೋಂದಾಯಿಸಲು ಸಾಧ್ಯವಾಗಲಿಲ್ಲ. ನಿರ್ದಿಷ್ಟ IP ವಿಳಾಸ, ಭೌಗೋಳಿಕ ಸ್ಥಳ, ನಿರ್ದಿಷ್ಟ URL ಅಥವಾ ನಿರ್ದಿಷ್ಟ ಸಮಯದ ಚೌಕಟ್ಟಿನೊಳಗೆ ನಿರ್ದಿಷ್ಟ ಬಲಿಪಶು ಭೇಟಿಗಳನ್ನು ನಿರೀಕ್ಷಿಸಿದಾಗ ನಿರ್ವಾಹಕರು ಮಾತ್ರ ದಾಖಲೆಗಳನ್ನು ತೆರೆಯುತ್ತಾರೆ ಎಂದು ನಾವು ನಂಬುತ್ತೇವೆ. ವೆಬ್ಸೈಟ್ನಿಂದ BingeChat ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲು ನಮಗೆ ಸಾಧ್ಯವಾಗದಿದ್ದರೂ, ನಾವು VirusTotal ನಲ್ಲಿ ವಿತರಣಾ URL ಅನ್ನು ಹುಡುಕಲು ಸಾಧ್ಯವಾಯಿತು. ದುರುದ್ದೇಶಪೂರಿತ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು Google Play ಸ್ಟೋರ್ ಮೂಲಕ ಪ್ರವೇಶಿಸಲಾಗುವುದಿಲ್ಲ.
ಸಂಭಾವ್ಯ ಬಲಿಪಶುಗಳನ್ನು ಗುರಿಯಾಗಿಸಲಾಗುತ್ತದೆ
ದುರುದ್ದೇಶಪೂರಿತ ವೆಬ್ಸೈಟ್ಗೆ ಪ್ರವೇಶಿಸಲು ಸಂಭಾವ್ಯ ಬಲಿಪಶುಗಳನ್ನು ಹೇಗೆ ಮೋಸಗೊಳಿಸಲಾಗಿದೆ ಅಥವಾ ಅವರು ಯಾವ ವಿಧಾನದಿಂದ ಕಂಡುಹಿಡಿಯಲ್ಪಟ್ಟಿದ್ದಾರೆ ಎಂಬುದನ್ನು ನಿರ್ಧರಿಸಲು ESET ಸಂಶೋಧನೆಗೆ ಸಾಧ್ಯವಾಗಲಿಲ್ಲ. ತನಿಖೆಯ ಸಮಯದಲ್ಲಿ, ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡುವುದು ಖಾತೆಯನ್ನು ಹೊಂದಲು ಷರತ್ತುಬದ್ಧವಾಗಿದೆ ಮತ್ತು ಹೊಸ ಖಾತೆ ನೋಂದಣಿ ಸಾಧ್ಯವಿಲ್ಲ ಎಂದು ಪರಿಗಣಿಸಿ, ಸಂಭಾವ್ಯ ಬಲಿಪಶುಗಳನ್ನು ನಿರ್ದಿಷ್ಟವಾಗಿ ಗುರಿಪಡಿಸಲಾಗಿದೆ ಎಂದು ESET ನಂಬುತ್ತದೆ.
ಮಾಲ್ವೇರ್ನ ಹಿಂದಿನ ಗುಂಪು ತಿಳಿದಿಲ್ಲ, ಆದರೂ ಫೇಸ್ಬುಕ್ ಸಂಶೋಧಕರು ಗ್ರ್ಯಾವಿಟಿರ್ಯಾಟ್ ಅನ್ನು ಪಾಕಿಸ್ತಾನ ಮೂಲದ ಗುಂಪಿಗೆ ಲಿಂಕ್ ಮಾಡಿದ್ದಾರೆ ಎಂದು ಸಿಸ್ಕೋ ಟಾಲೋಸ್ ಈ ಹಿಂದೆ ಊಹಿಸಿದ್ದಾರೆ. ESET ಈ ಗುಂಪನ್ನು SpaceCobra ಹೆಸರಿನಲ್ಲಿ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತದೆ. BingeChat ಮತ್ತು Chatico ಈ ಗುಂಪಿಗೆ ತಮ್ಮ ಪ್ರಚಾರಗಳನ್ನು ಆರೋಪಿಸುತ್ತಾರೆ.
ಅಪ್ಲಿಕೇಶನ್ನ ಕಾನೂನು ಕ್ರಿಯಾತ್ಮಕತೆಯ ಭಾಗವಾಗಿ, ಖಾತೆಯನ್ನು ರಚಿಸಲು ಮತ್ತು ಲಾಗ್ ಇನ್ ಮಾಡಲು ನಿಮಗೆ ಆಯ್ಕೆಯನ್ನು ನೀಡಲಾಗುತ್ತದೆ. ಬಳಕೆದಾರನು ಅಪ್ಲಿಕೇಶನ್ಗೆ ಲಾಗ್ ಮಾಡುವ ಮೊದಲು, C&C ಸರ್ವರ್ನೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುವ ಮೂಲಕ GravityRAT ಸಾಧನದ ಬಳಕೆದಾರರ ಡೇಟಾವನ್ನು ಒಳನುಸುಳಲು ಪ್ರಾರಂಭಿಸುತ್ತದೆ ಮತ್ತು ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಕಾಯುತ್ತದೆ. GravityRAT ಕರೆ ಲಾಗ್ಗಳು, ಸಂಪರ್ಕ ಪಟ್ಟಿಗಳು, SMS ಸಂದೇಶಗಳು, ಸಾಧನದ ಸ್ಥಳ, ಮೂಲ ಸಾಧನ ಮಾಹಿತಿ ಮತ್ತು ಚಿತ್ರಗಳು, ಫೋಟೋಗಳು ಮತ್ತು ದಾಖಲೆಗಳಿಗಾಗಿ ನಿರ್ದಿಷ್ಟ ವಿಸ್ತರಣೆಗಳೊಂದಿಗೆ ಫೈಲ್ಗಳನ್ನು ಒಳನುಸುಳಬಹುದು. GravityRAT ನ ಈ ಆವೃತ್ತಿಯು GravityRAT ನ ಹಿಂದಿನ ತಿಳಿದಿರುವ ಆವೃತ್ತಿಗಳಿಗೆ ಹೋಲಿಸಿದರೆ ಎರಡು ನವೀಕರಣಗಳನ್ನು ಹೊಂದಿದೆ: WhatsApp ಬ್ಯಾಕಪ್ಗಳನ್ನು ಒಳನುಸುಳುವಿಕೆ ಮತ್ತು ಫೈಲ್ಗಳನ್ನು ಅಳಿಸಲು ಆಜ್ಞೆಗಳನ್ನು ಸ್ವೀಕರಿಸುವುದು.