GravityRAT 木馬程式在 Android App 會下載惡意檔案至載具上並竊取機敏資訊

風險等級: 高度威脅
摘 要: 病毒通告:GravityRAT 木馬程式在 Android App 會下載惡意檔案至載具上並竊取機敏資訊,請勿點選或開啟任何可疑的檔案並提高警覺!
解決辦法: 若不慎已感染此病毒,建議處理方式如下:
1、卸載安裝該應用程序,並阻擋所有外部可疑連線
2、使用密碼將檔案加密
3、不要給予使用者與程式過高的權限來執行工作
4、取消自動撥放 (AutoPlay) 避免在網路上自動執行檔案
5、關閉藍芽與檔案分享功能,如需要則使用權限控管名單 (Access Control List) 或 密碼 (password) 來存取:
6、一旦有檔案被感染,立刻將其隔離
7、如果以上步驟仍無法順利清除病毒,建議您參考以下廠商 (Cyble) 提供之步驟處理:
https://blog.cyble.com/2021/11/11/gravity-rat-malware-returns-as-a-chat-application/
細節描述: 近日資安廠商發現一個端對端加密安全聊天功能的 Android App,SoSafe Chat,內含惡意程式碼 GravityRAT,會竊取用戶的機敏資訊。

該木馬程式為遠端存取途徑,如安裝了 SoSafe Chat,其中的 GravityRAT就會竊取用戶手機中的各種機敏資訊,(用戶的簡訊內容、通話記錄、通訊錄、竄改手機系統設定、手機在基地台的註冊資訊、電話號碼、手機序號、手機內的檔案、盜錄對話、傳回手機所在地資料..)。

GravityRAT 在 2020 年之前只感染執行 Windows 作業系統的裝置,爾後則擴及到 Android 平台上。目前 SoSafe Chat 的網站仍然還在線上運作,但 App 下載連結已經失效;建議下載 Android App 前一定要提高警覺。

手法及程序名稱:
(1) APK 技術資訊應用程序名稱:SoSafe Chat應用程序專案名稱 (Package Name):eu.siacs.conversations SHA256
(Hash):c7d01eacfb80cea5fcfd643cddec8bdc4ed9fde8d1161e4958cc71f9e82c6469

(2) 惡意程序請求權限該程序請求 42 種不同的權限,其中攻擊者可以濫用下列主要權限

1. 讀取簡訊、通話記錄和聯繫人資訊
READ_SMS、READ_CONTACTS、

2. 更改或修改系統設置
WRITE_SETTINGS

3. 讀取當前的使用網路資訊、受害者手機的電話號碼和序列號、任何正在進行的通話的狀態、在設備上註冊的任何電話帳戶的列表
READ_CALL_LOG、READ_PHONE_STATE

4. 讀取或寫入設備外部儲存上的檔案
WRITE_EXTERNAL_STORAGE READ_EXTERNAL_STORAGE

5. 錄製聲音檔
RECORD_AUDIO

6. 獲取連接的網路相關資訊
GET_ACCOUNTS ACCESS_NETWORK_STATE、ACCESS_WIFI_STATE

7. 獲取設備的位置
ACCESS_COARSE_LOCATION、ACCESS_FINE_LOCATION

參考資訊: TWCERT
Cyble