GravityRAT — так называется вирус, о деятельности которого известно экспертам и определенному количеству неудачливых пользователей. Ранее, в 2021 году, зловред появлялся в роли трояна в APK приложениях SoSafe и Travel Mate Pro.
Недавно исследователи обнаружили этот вирус в Android программе BingeChat. GravityRAT распространяется через определенные сайты и рекламируется как APK BingeChat — якобы мессенджер, который ест мало ресурсов, но при этом по своим возможностям «не имеет себе равных». Специалисты объясняют, что BingeChat написан на основе вполне легитимного софта OMEMO IM и является его троянской версией. Но если ранее вирус был ориентирован только на определенный ряд конфиденциальных сведений о пользователе, то сегодня «гравитационная крыса» уже не побрезгует и локальной резервной копией WhatsApp.
При этом все сделано так, чтобы пользователь поверил в эксклюзивность приложения. Для начала юзер должен зарегистрировать свои данные и создать аккаунт. Затем ему приходит (или не приходит) инвайт на скачивание. Таким образом злоумышленники решают сразу две задачи:
- сами выбирают пользователя, на которого собираются открыть «охоту»;
- не дают экспертам возможности быстро скачать и сделать анализ зловреда, чтобы подобрать «лечение»;
При установке BingeChat даже бдительный юзер вряд ли определит западню, ведь приложение запрашивает вполне стандартные разрешения на доступ к информации и действия с контентом, которые нужны практически всем мессенджерам. И коварный GravityRAT пользуется своей скрытностью и непохожестью на «злодея». Вирус буквально выгребает все, что может найти среди файлов, в том числе с такими разрешениями, как: jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18 и crypt32
Эксперты отмечают, что наличие в перечне файлов с расширением crypt как раз и означает, что GravityRAT интересуется резервными копиями чатов и медиа WhatsApp
Такая ситуация опасна, так как бэкап WhatsApp, который прекрасно справляется с портированием важных файлов, например, при «переезде» пользователя со старого смартфона на новый, сам по себе весьма уязвим. Ведь резервное копирование на локальном девайсе часто происходит в незашифрованном виде.
