按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

假冒端對端加密的 SoSafe Chat 社群聊天 Android App,內藏會竊取用戶機敏資訊的木馬 GravityRAT

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-11-17
  • 點閱次數:1715
假冒端對端加密的 SoSafe Chat 社群聊天 Android App,內藏會竊取用戶機敏資訊的木馬 GravityRAT TWCERT/CC

資安廠商發現一個號稱提供端對端加密安全聊天功能的 Android App,內含惡意程式碼,會竊取用戶的機敏資訊。

資安廠商 Cyble 旗下的研究人員,最近發現一個號稱提供端對端加密安全聊天功能的 Android App,名為 SoSafe Chat,內含惡意程式碼 GravityRAT,會竊取用戶的機敏資訊。

這個 GravityRAT 惡意軟體是一種遠端存取木馬程式,主要是由巴基斯坦的駭侵者發動攻擊,目標對象是鎖定印度用戶;資安廠商分析其獲得的攻擊目標資訊,發現 GravityRAT 會集中攻擊印度的知名人士,特別是印度軍方的軍官與高階將領等。

受害用戶一旦安裝了 SoSafe Chat,其中的 GravityRAT 就會竊取用戶手機中的各種機敏資訊,包括讀取用戶的簡訊內容、通話記錄、通訊錄、竄改手機系統設定、手機在基地台的註冊資訊、電話號碼、手機序號、手機內的檔案、盜錄對話、傳回手機所在地資料等。

事實上,這並不是 GravityRAT 首次出現。資安專家指出,2020 年時 GravityRAT 就曾透過另一個名為 Travel Mate Pro 的旅遊相關軟體散布,但因肺炎疫情造成旅遊人數銳減,對旅遊 App 的需求不再,因此這次捲土重來時,就改隱身於即時訊息聊天這類社群 App 之中。

此外,GravityRAT 在 2020 年之前只感染執行 Windows 作業系統的裝置,但之後擴及到 Android 平台上;這表示其幕後的開發者和駭侵團體十分活躍。

目前 SoSafe Chat 的網站仍然還在線上運作,但 App 下載連結已經失效;資安專家提醒用戶,下載 Android App 前一定要提高警覺,除了不在可疑之處下載任何軟體外,也應仔細查閱 Google Play Store 中的評價與用戶意見,確認安全後再安裝。

回頁首