ESETは6月15日(米国時間)、「Android GravityRAT goes after WhatsApp backups」において、Androidスマートフォンやタブレットを標的としたサイバー攻撃のキャンペーンが展開されているとして、注意を喚起した。WhatsAppのバックアップファイルを盗み、ファイルを削除するコマンドを受け取ることができるスパイウェアのバージョンアップ版を使った複数のキャンペーンが特定されている。
-
Android GravityRAT goes after WhatsApp backups
Androidのメッセージングアプリ「BingeChat」「Chatico」を通じて配信されている、Android用スパイウェア「GravityRAT」のアップデート版が発見された。GravityRATはリモートアクセスツールとして2015年頃から使われており、インドに対する標的型攻撃で使われたことで知られている。GravityRATの背後にいる脅威者は特定されていないが、SpaceCobraと呼ばれ追跡されている。
2つのアプリのうち、Chaticoアプリによるキャンペーンの活動は停止しているが、BingeChatアプリによるキャンペーンは継続中であることがわかっている。BingeChatアプリは無料のメッセージングおよびファイル共有サービスとして紹介されているWebサイトで公開されており、誰でも入手できる。
-
GravityRAT distribution mechanism
改良版のGravityRATには、WhatsAppのバックアップを漏洩させる機能およびファイルを削除するコマンドを受信する機能が追加されており、強化されていることが判明している。
キャンペーンではGravityRATを配布するため、隠れ蓑としてメッセージングアプリを使用している。Androidユーザーは少なくとも公式アプリストア以外からアプリをインストールせず、公式アプリストアであってもインストールするアプリに注意するとともに、不必要な権限を与えないようにすることが推奨される。
