MalwareHunterTeam, yang membagikan hash untuk sampel GravityRAT melalui tweet. Berdasarkan nama file APK, aplikasi berbahaya tersebut diberi nama BingeChat dan mengklaim menyediakan fungsionalitas perpesanan. Kami menemukan situs web bingechat[.]net tempat sampel ini mungkin telah diunduh
Situs web harus menyediakan aplikasi jahat setelah mengetuk tombol UNDUH APLIKASI; namun, pengunjung harus masuk. Kami tidak memiliki kredensial, dan pendaftaran ditutup. Kemungkinan besar operator hanya membuka pendaftaran ketika mereka mengharapkan korban tertentu untuk berkunjung, mungkin dengan alamat IP tertentu, geolokasi, URL khusus, atau dalam jangka waktu tertentu. Oleh karena itu, kami percaya bahwa calon korban sangat ditargetkan.
Meskipun kami tidak dapat mengunduh aplikasi BingeChat melalui situs web, kami dapat menemukan URL di VirusTotal (https://downloads.bingechat[.]net/uploadA/c1d8bad13c5359c97cab280f7b561389153/BingeChat.zip) yang berisi aplikasi Android BingeChat berbahaya . Aplikasi ini memiliki hash yang sama dengan aplikasi di tweet yang disebutkan sebelumnya, yang berarti URL ini adalah titik distribusi untuk sampel GravityRAT khusus ini.
Nama domain yang sama juga dirujuk dalam kode aplikasi BingeChat – petunjuk lain bahwa bingechat[.]net digunakan untuk distribusi
Aplikasi berbahaya tidak pernah tersedia di Google Play Store. Ini adalah versi trojan dari aplikasi Android OMEMO Instant Messenger (IM) sumber terbuka yang sah, tetapi dicap sebagai BingeChat. OMEMO IM adalah pembangunan kembali Percakapan klien Android Jabber.
Kode HTML dari situs berbahaya menyertakan bukti bahwa kode tersebut disalin dari situs resmi preview.colorlib.com/theme/BingeChat/ pada 5 Juli 2022, menggunakan alat otomatis HTTrack; colorlib.com adalah situs resmi yang menyediakan tema WordPress untuk diunduh, tetapi tema BingeChat sepertinya sudah tidak tersedia lagi di sana. Domain bingechat[.]net didaftarkan pada 18 Agustus 2022.
Kami tidak tahu bagaimana calon korban terpikat, atau ditemukan, situs web jahat. Menimbang bahwa pengunduhan aplikasi tergantung pada memiliki akun dan pendaftaran akun baru tidak memungkinkan bagi kami, kami yakin bahwa calon korban menjadi sasaran khusus. Skema ikhtisar serangan ditunjukkan pada Gambar dibawah.
SpaceCobra telah menyadarkan kembali GravityRAT untuk menyertakan fungsionalitas yang diperluas guna mengekstrak cadangan WhatsApp Messenger dan menerima perintah dari server C&C untuk menghapus file. Sama seperti sebelumnya, kampanye ini menggunakan aplikasi perpesanan sebagai penutup untuk mendistribusikan backdoor GravityRAT. Grup di balik malware menggunakan kode IM OMEMO yang sah untuk menyediakan fungsionalitas obrolan untuk aplikasi perpesanan berbahaya BingeChat dan Chatico.
Menurut telemetri ESET, pengguna di India menjadi sasaran RAT versi Chatico yang diperbarui, mirip dengan kampanye SpaceCobra yang didokumentasikan sebelumnya. Versi BingeChat didistribusikan melalui situs web yang memerlukan pendaftaran, kemungkinan hanya terbuka ketika penyerang mengharapkan korban tertentu untuk berkunjung, mungkin dengan alamat IP tertentu, geolokasi, URL khusus, atau dalam jangka waktu tertentu. Bagaimanapun, kami yakin kampanye ini sangat bertarget.
