Ezúttal „SoSafe Chat” végpontok közötti titkosítást ígérő android-alkalmazásnak álcázzák a GravityRAT néven ismert távoli elérésű trójai programot, amellyel jellemzően magas tisztségben álló indiai felhasználókat céloznak. A rosszindulatú program még 2020-ban egy bizonyos „Travel Mate Pro” nevű alkalmazással terjedt, azonban mivel a pandémia visszaszorította az utazási lehetőségeket a támadók új köntösbe bújtatták a káros programot. Valószínűleg rosszindulatú hirdetésekkel, közösségi média-bejegyzésekkel és azonnali üzenetekkel terjesztették a kártevőt, amely során feltehetően nagy szerepet játszott a sosafe[.]co[.]in weboldal is, ami továbbra is elérhető, bár a letöltési link és a regisztrációs űrlap már nem működik az oldalon. A GravityRAT számos kémfunkcióval bír, köztük hozzáfér az SMS üzenetekhez, hívásnaplókhoz, névjegyadatokhoz, GPS adatokhoz, eszközadatokhoz, hálózati információkhoz, módosíthatja a rendszerbeállításokat, az eszköz külső tárhelyén lévő fájlokat, valamint hangfelvételt is készíthet. A káros program elemzését végző Cyble kutatói szerint az imént felsorolt kémfunkciók eléréséhez meglehetősen kiterjesztett engedélyre van szüksége a rosszindulatú programnak, amelyek megadása akár indokolt is lehet egy azonnali üzenetküldő alkalmazás esetén. A hangrögzítés, a helymeghatározás és a mobilhálózati információk lekérése új funkcióként jelent meg a 2020-as verzióhoz képest, az annál is korábbi verzióval pedig csak Windows eszközöket céloztak, amiből arra lehet következtetni, hogy a GravityRAT aktív fejlesztés alatt áll.
