Trojan truy cập từ xa GravityRAT đang được phát tán dưới vỏ bọc của một ứng dụng trò chuyện được mã hóa end-to-end có tên là SoSafe Chat và nhắm mục tiêu chủ yếu đến người dùng Ấn Độ.
Dữ liệu về chiến dịch gần đây nhất cho thấy Gravity vẫn đang nhắm mục tiêu vào những cá nhân nổi tiếng ở Ấn Độ, như các sĩ quan Lực lượng vũ trang.
Giả mạo ứng dụng trò chuyện
Trước đó, vào năm 2020, GravityRAT đã được phát tán thông qua một ứng dụng Android có tên là ‘Travel Mate Pro’ nhưng có vẻ không hiệu quả nên các tác nhân đã chuyển sang giả mạo một ứng dụng khác.
‘SoSafe Chat’ được quảng bá là một ứng dụng nhắn tin an toàn có tính năng mã hóa end-to-end.
Trang web giúp phán tán ứng dụng (sosafe.co[.]in) vẫn có thể truy cập trực tuyến cho đến hôm nay, nhưng liên kết tải xuống và biểu mẫu đăng ký hiện không còn hoạt động.
Kênh và phương pháp phát tán vẫn chưa được xác định, nhưng nó có thể được thực hiện bằng cách chuyển hướng lưu lượng truy cập đến trang web thông qua quảng cáo độc hại, các bài đăng trên mạng xã hội hoặc tin nhắn gửi đến các mục tiêu.
Khả năng gián điệp rộng
Sau khi được cài đặt trên thiết bị mục tiêu, phần mềm gián điệp có thể thực hiện một loạt các hành vi độc hại như lấy cắp dữ liệu và theo dõi thiết bị nạn nhân, bao gồm:
- Đọc tin nhắn, nhật ký cuộc gọi và dữ liệu danh bạ
- Thay đổi/sửa đổi cài đặt hệ thống
- Đọc thông tin mạng di động hiện tại, số điện thoại và số sê-ri điện thoại của nạn nhân; theo dõi trạng thái cuộc gọi và danh sách các tài khoản điện thoại được đăng ký trên thiết bị
- Đọc hoặc ghi tệp trên bộ nhớ ngoài của thiết bị
- Ghi âm
- Nhận thông tin mạng được kết nối
- Nhận vị trí của thiết bị
Các nhà nghiên cứu Cyble cho biết ứng dụng độc hại yêu cầu cung cấp khá nhiều quyền để thực hiện các chức năng, nhưng nó vẫn có thể hợp lý cho một ứng dụng nhắn tin nhanh (IM).
So với phiên bản 2020, GravityRAT đã bổ sung khả năng ghi âm và các tính năng dành riêng cho thiết bị di động như tìm vị trí và lọc dữ liệu mạng di động.
Trước phiên bản 2020, GravityRAT chỉ nhắm mục tiêu vào các máy Windows, không có khả năng lây nhiễm cho các thiết bị di động.
Sự xuất hiện trở lại của phần mềm độc hại nhắm mục tiêu đến các thiết bị di động cho thấy các nhà phát triển mã độc này đang tiếp tục nâng cấp nó.
Người dùng nên cẩn thận, cảnh giác khi cài đặt bất kỳ phần mềm nào trên thiết bị của mình và chỉ nên cài đặt từ những nguồn tin cậy.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Một công dân Nga đã bị kết án 10 năm tù và bị phạt 3.827.493 đô la vì điều hành Methbot, một mạng botnet lừa đảo khổng lồ đã đánh cắp hơn 7 triệu đô la từ các nhà phát hành và mạng quảng cáo từ năm 2014 đến năm 2018.
Tín nhiệm mạng | Một lỗ hổng zero-day mới đã được phát hiện trong Palo Alto Networks GlobalProtect VPN cho phép kẻ tấn công có thể thực thi mã tùy ý trên các thiết bị bị với đặc quyền root.
Tín nhiệm mạng | Các nhà nghiên cứu của Google cho biết đã phát hiện một cuộc tấn công vào cuối tháng 8 đang khai thác một lỗ hổng zero-day trên hệ điều hành macOS
Tín nhiệm mạng | Mới đây, nhà cung cấp máy tính phân tán Citrix đã phát hành bản vá bảo mật để khắc phục hai lỗ hổng bao gồm một lỗi nghiêm trọng cho phép tấn công từ chối dịch vụ mà không cần xác thực.
Tín nhiệm mạng | Robinhood đã tiết lộ một vụ vi phạm bảo mật về việc tin tặc truy cập thông tin cá nhân trái phép, ảnh hưởng đến khoảng 7 triệu khách hàng (gần một phần ba người dùng của họ).
Tín nhiệm mạng | Microsoft vừa phát hành bản cập nhật bảo mật tháng 11 để vá 55 lỗ hổng, bao gồm sáu lỗ hổng zero-day - hai trong số đó đã và đang bị khai thác trong thực tế.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
