一个名为SpaceCobra的黑客组织开发了一款即时通讯应用程序，该应用程序也能够从目标设备窃取大量敏感信息。威胁行为者似乎确切地知道它想要瞄准谁，因为下载该应用程序已被证明对研究人员来说是一个相当大的挑战。

ESET的网络安全研究人员最近发现，名为BingeChat和Chatico的两款消息应用程序实际上为远程访问木马GravityRAT提供服务。该RAT能够从受感染的端点窃取大量敏感信息，包括通话记录、联系人列表、短信、设备位置、基本设备信息以及具有特定扩展名的图片、照片和文档的文件。

没有应用商店存在

这两款应用程序从其他提供GravityRAT的应用程序中脱颖而出的是，它们还可以窃取WhatsApp备份并接收删除文件的命令。

恶意软件的分发方式使该活动变得更加独特。例如，这些应用程序无法在应用程序商店中找到，也从未上传到GooglePlay等。相反，它们只能通过访问特制网站并开设帐户来下载。这听起来可能没什么特别的，但ESET的研究人员无法开设帐户，因为他们访问时注册已“关闭”。这促使他们得出结论，该组织的目标非常精确，可能会针对特定位置或IP地址。

ESET研究员Lukᚊtefanko表示：“运营商很可能仅在预计特定受害者访问时才开放注册，受害者可能会使用特定的IP地址、地理位置、自定义URL，或在特定的时间范围内进行访问。”“虽然我们无法通过网站下载BingeChat应用程序，但我们能够在VirusTotal上找到分发URL，”他补充道。

话虽如此，大多数受害者似乎居住在印度。袭击者SpaceCobra显然是巴基斯坦裔。研究人员表示，该活动很可能自去年8月以来就开始活跃，其中两个活动之一(BingeChat)仍然活跃。该恶意应用程序基于开源OMEMOInstantMessenger应用程序，适用于Windows、macOS和Android。