マルチライセンス割引
Threat Database Mobile Malware GravityRAT モバイル マルウェア

GravityRAT モバイル マルウェア

Mobile Malware, Remote Administration Tools, StealersMezoまで
翻訳内容:
日本語

2022 年 8 月以降、新しい Android マルウェア キャンペーンが検出され、最新バージョンの GravityRAT が拡散し、モバイル デバイスが侵害されています。このマルウェアは、感染手段として「BingeChat」というトロイの木馬化されたチャット アプリケーションを利用し、被害者のデバイスからデータを盗むことを目的としています。

GravityRAT の最新バージョンには、WhatsApp バックアップ ファイルを盗む機能など、注目すべき機能強化が加えられています。これらのバックアップ ファイルは、ユーザーがメッセージ履歴、メディア ファイル、データを新しいデバイスに転送できるように設計されており、テキスト、ビデオ、写真、ドキュメントなどの機密情報をすべて暗号化されていない形式で含めることができます。

GravityRAT は少なくとも 2015 年から活動していましたが、Android デバイスを標的にし始めたのは 2020 年になってからです。「SpaceCobra」として知られるこのマルウェアの背後にいるオペレーターは、高度に標的を絞った操作にのみこのスパイウェアを使用しています。

サイバー犯罪者は GravityRAT を便利なチャット アプリとして偽装

チャット アプリ「BingeChat」を装ったこのスパイウェアは、エンドツーエンドの暗号化を提供すると主張し、高度な機能とともにユーザーフレンドリーなインターフェイスを誇っています。悪意のあるアプリは主に Web サイト「bingechat.net」を通じて配布され、場合によっては他のドメインやチャネルを通じて配布されます。ただし、ダウンロードへのアクセスは、有効な資格情報を提供するか、新しいアカウントを登録する必要がある招待された個人に制限されています。

現在、アプリの登録は終了しており、配布は特定のターゲットに限定されています。この方法では、加害者がマルウェアを選択的に配信できるようになるだけでなく、分析用にコピーを入手しようとする研究者にとっても課題が生じます。

繰り返されるパターンでは、GravityRAT の運営者は 2021 年に「SoSafe」という名前のチャット アプリを使用し、それ以前は「Travel Mate Pro」という別のアプリを使用して悪意のある Android APK を宣伝する手段に訴えました。これらのアプリは、Android 用の正規のオープンソース インスタント メッセンジャー アプリである OMEMO IM のトロイの木馬化バージョンでした。

特に、SpaceCobra は以前、「Chatico」と呼ばれる別の詐欺アプリの基盤として OMEMO IM を利用していました。 2022 年の夏、Chatico は現在は廃止されている Web サイト「chatico.co.uk」を通じてターゲットに配布されました。

GravityRAT モバイル脅威で見つかった悪意のある機能

BingeChat は、ターゲットのデバイスにインストールされると、固有のリスクを伴う権限を要求します。これらの権限には、連絡先、位置情報、電話、SMS、ストレージ、通話記録、カメラ、マイクへのアクセスが含まれます。通常、これらのアクセス許可はインスタント メッセージング アプリで必要とされるため、被害者に疑惑を引き起こしたり異常に思われる可能性はほとんどありません。

ユーザーが BingeChat に登録する前に、アプリは重要な情報を脅威アクターのコマンドアンドコントロール (C2) サーバーに密かに送信します。これには、通話記録、連絡先リスト、SMS メッセージ、デバイスの位置、基本的なデバイス情報が含まれます。さらに、マルウェアは、jpg、jpeg、log、png、PNG、JPG、JPEG、txt、pdf、xml、doc、xls、xlsx、ppt、pptx、docx、opus などの特定のファイル タイプのさまざまなメディアおよびドキュメント ファイルを盗みます。 、crypt14、crypt12、crypt13、crypt18、およびcrypt32。特に、crypt ファイル拡張子は WhatsApp Messenger のバックアップに対応しています。

さらに、GravityRAT の注目すべき新機能の 1 つは、C2 サーバーから 3 つの異なるコマンドを受信できることです。これらのコマンドには、「すべてのファイルの削除」(指定された拡張子の)、「すべての連絡先の削除」、および「すべての通話記録の削除」が含まれます。この機能により、攻撃者は侵害されたデバイスを大幅に制御できるようになり、損害を与える可能性のあるアクションを実行できるようになります。

ユーザーは、アプリに権限を付与する際には細心の注意を払い、たとえ正当なように見えるアプリケーションであっても、アプリケーションによって要求された権限を慎重に確認する必要があります。デバイスを定期的に更新し、信頼できるセキュリティ ソリューションを採用し、アプリの不審な動作に警戒することは、このような高度なマルウェア キャンペーンに関連するリスクを軽減するのに役立ちます。

トレンド

Triovideo.ru

Browser Hijackers
Triovideo.ruは、インターネット設定を変更するためにバンドルされたソフトウェアまたはフリーウェアのいずれかでダウンロードされたコンポーネントがインストールされているために自動的にロードされる可能性のある疑わしいWebサイトです。これらの変更の場合、Triovideo.ruは、一般的なWebブラウザのデフォルトのホームページまたは新しいタブページとして設定される場合があります。 Tr...

Elibe Ransomware

Ransomware
Elibe ランサムウェアは、ファイルを暗号化し、ファイル名に「.elibe」を追加して、被害者がデータにアクセスできないようにする機能を特徴としています。 Elibe ランサムウェアは、他の多くのランサムウェアと同様、コンピュータ システムに密かに侵入し、古いソフトウェアの脆弱性を悪用したり、フィッシングメールや悪意のある添付ファイルなどのソーシャル エンジニアリング戦術を利用したりするこ...

Campo Loader

Malware
Campo Loader(またはNLoader)は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップするこ...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,393
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
24,877
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
23,910
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...