假冒端對端加密的 SoSafe Chat 社群聊天 Android App，內藏會竊取用戶機敏資訊的木馬 GravityRAT @ 台灣電腦網路危機處理暨協調中心-TWCERT/CC

資安廠商發現一個號稱提供端對端加密安全聊天功能的 Android App，內含惡意程式碼，會竊取用戶的機敏資訊。

資安廠商 Cyble 旗下的研究人員，最近發現一個號稱提供端對端加密安全聊天功能的 Android App，名為 SoSafe Chat，內含惡意程式碼 GravityRAT，會竊取用戶的機敏資訊。

這個 GravityRAT 惡意軟體是一種遠端存取木馬程式，主要是由巴基斯坦的駭侵者發動攻擊，目標對象是鎖定印度用戶；資安廠商分析其獲得的攻擊目標資訊，發現 GravityRAT 會集中攻擊印度的知名人士，特別是印度軍方的軍官與高階將領等。

受害用戶一旦安裝了 SoSafe Chat，其中的 GravityRAT 就會竊取用戶手機中的各種機敏資訊，包括讀取用戶的簡訊內容、通話記錄、通訊錄、竄改手機系統設定、手機在基地台的註冊資訊、電話號碼、手機序號、手機內的檔案、盜錄對話、傳回手機所在地資料等。

事實上，這並不是 GravityRAT 首次出現。資安專家指出，2020 年時 GravityRAT 就曾透過另一個名為 Travel Mate Pro 的旅遊相關軟體散布，但因肺炎疫情造成旅遊人數銳減，對旅遊 App 的需求不再，因此這次捲土重來時，就改隱身於即時訊息聊天這類社群 App 之中。

此外，GravityRAT 在 2020 年之前只感染執行 Windows 作業系統的裝置，但之後擴及到 Android 平台上；這表示其幕後的開發者和駭侵團體十分活躍。

目前 SoSafe Chat 的網站仍然還在線上運作，但 App 下載連結已經失效；資安專家提醒用戶，下載 Android App 前一定要提高警覺，除了不在可疑之處下載任何軟體外，也應仔細查閱 Google Play Store 中的評價與用戶意見，確認安全後再安裝。