最近的网络安全观察中,一个名为 GravityRAT 的Android远程木马的新版本被注意到,新版本通过伪装成通讯APP BingeChat 和 Chatico,提供基于开源OMEMO Instant Messenger 应用程序的聊天功能,但其主要目标是窃取 WhatsApp 备份数据并接收删除文件的命令。

打开网易新闻 查看精彩图片

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,GravityRAT 是一种跨平台恶意软件的名称,该恶意软件能够针对 Windows、Android 和 macOS 设备。采用该恶意软件进行网络攻击活动的组织疑似位于巴基斯坦,通过将恶意软件伪装成云存储和娱乐应用程序,针对印度和巴基斯坦空军的军事人员特定目标进行攻击。

打开网易新闻 查看精彩图片

这些恶意软件伪装的APP没有上架到 Google Play 应用商店,但是它们通过推广免费消息服务的流氓网站进行分发,黑客组织通过伪装成政府人员等虚构人设进行渗透,在 Facebook 和 Instagram 上联系潜在目标,目的是诱骗他们点击链接并下载恶意应用程序

与大多数 Android 后门程序一样,GravityRAT 会在看似合法的应用程序的幌子下请求侵入权限,以在受害者不知情的情况下收集敏感信息,例如联系人、短信、通话记录、文件、位置数据和录音。

捕获的数据最终会在黑客的控制下泄露到远程服务器。新版本 GravityRAT 的突出之处在于它能够窃取 WhatsApp 备份文件并从 C2 服务器接收指令来删除通话记录、联系人列表和特定扩展名的文件。