星空加速器

最近，ESET的研究人员发现了一个新版本的Android GravityRAT间谍软件。 针对WhatsApp用户，该木马化版本的合法OMEMO IM应用程序可通过BingeChat和Chatico消息应用程序下载。

GravityRAT是一款远程访问工具，自2015年以来一直活跃在印度。 GravityRAT是一款跨平台应用程序，其来源尚不清楚，但ESET研究人员内部将其与SpaceCobra组织联系在一起。

据信，该恶意软件自2022年8月以来一直活跃在Windows、macOS和Android等平台上。 该恶意软件不仅可以访问存储在WhatsApp备份中的所有文件，还可以从用户设备中窃取所有敏感信息。

BingeChat和Chatico这两款消息应用程序无法在Google Play商店下载，而是通过以下可疑网站发布：bingechat[.]net和chatico[.]co[.]uk；这些网站推广免费的文件共享和聊天服务。

该恶意软件被设计用于从WhatsApp备份中提取所有数据，并接收远程指令删除包括通话记录、联系人和特定文件在内的信息。 "ESET的研究指出："这些都是非常特殊的指令，通常不会出现在安卓恶意软件中。

在受害者不知情的情况下，GravityRAT还能提取敏感数据，如短信、位置数据、文件（包括照片、视频和录音）、通话记录等，并将这些数据传输到攻击者控制的C2服务器。 它能够通过使用Android应用程序的合法功能来提取这些信息。 它请求所有标准权限，包括访问不同的功能和文件，这些权限由用户授予。

据ESET研究人员称，Chatico已不再活跃，但BingeChat仍在运行。 这两款应用都用于捕获特定目标。 例如，记录在案的SpaceCobra部署的Chatico攻击就是针对印度用户的。 BingeChat只能在注册后下载，并非对所有人开放。

''BingeChat应用程序是通过一个需要注册的网站发布的，该网站可能只在攻击者预期特定受害者访问时打开，可能使用特定的IP地址、地理位置、自定义URL或在特定的时间范围内。 研究报告指出："无论如何，该活动很可能具有高度针对性。

由于GravityRAT不断推出新的更新版本，Android用户必须采取严格的安全措施，包括使用反病毒以减轻此类威胁。