El equipo de investigación de ESET analiza un software espía que roba archivos de la copia de seguridad de WhatsApp y tiene la capacidad de recibir comandos para eliminar archivos
El equipo de investigación de ESET, líder en detección proactiva de amenazas, ha identificado una versión actualizada para Android del troyano de acceso remoto GravityRAT. Este malware se distribuye a través de aplicaciones de mensajería falsas, como BingeChat y Chatico. GravityRAT es conocido por tener versiones disponibles para Windows, Android y macOS, y se le atribuye al grupo de ciberdelincuentes denominado SpaceCobra.
El grupo SpaceCobra, activo desde al menos 2015, ha ampliado las funcionalidades de GravityRAT, permitiéndole exfiltrar copias de seguridad de WhatsApp Messenger y recibir comandos para eliminar archivos. Esta campaña en particular utiliza aplicaciones de mensajería como señuelo para distribuir el backdoor GravityRAT.
Lo que distingue a este malware es el uso del código de la aplicación de mensajería legítima llamada OMEMO. El grupo de ciberdelincuentes ha utilizado este código para proporcionar funcionalidad de chat en las aplicaciones maliciosas BingeChat y Chatico. Según ESET, la campaña de BingeChat está actualmente en curso, mientras que la campaña que utiliza Chatico ya no está activa.
La aplicación maliciosa se hace pasar por una aplicación de mensajería legítima y lleva la marca BingeChat en el nombre del archivo APK. El sitio web bingechat[.]net ha sido identificado como uno de los lugares de distribución de esta muestra maliciosa. Sin embargo, los investigadores de ESET no pudieron acceder a la aplicación, ya que se requiere iniciar sesión para descargarla. Esto sugiere que los operadores de la campaña abren el registro solo cuando esperan la visita de una víctima específica, posiblemente a través de criterios como dirección IP, geolocalización, URL personalizada o intervalo de tiempo específico. Esto indica que las víctimas potenciales son altamente específicas.
Es importante destacar que la aplicación maliciosa nunca estuvo disponible en la tienda oficial de Google Play. Se trata de una versión modificada de la aplicación legítima de Android llamada OMEMO Instant Messenger (IM), pero se presenta bajo la marca BingeChat. OMEMO IM es una reconstrucción del cliente para Android Conversations.
Una vez que la aplicación maliciosa se ejecuta en un dispositivo, solicita al usuario que habilite todos los permisos necesarios para funcionar correctamente. A excepción del permiso para leer los registros de llamadas, los demás permisos solicitados son típicos de cualquier aplicación de mensajería legítima, por lo que es probable que el usuario no sospeche de su solicitud.
Además de su funcionalidad legítima, la aplicación maliciosa ofrece opciones para crear una cuenta e iniciar sesión. Antes de que el usuario inicie sesión, GravityRAT comienza a interactuar con su servidor de control y comando (C&C), filtrando datos del dispositivo y esperando recibir comandos. GravityRAT es capaz de exfiltrar registros de llamadas, lista de contactos, mensajes SMS, archivos con extensiones específicas, ubicación del dispositivo e información básica del mismo. Los datos exfiltrados se almacenan en archivos de texto en medios externos, se extraen hacia el servidor C&C y finalmente se eliminan. Según ESET, estos comandos son muy específicos y poco comunes en el malware para Android. Las versiones anteriores de GravityRAT para Android solo podían cargar datos extraídos en un momento predefinido, sin tener la capacidad de recibir comandos.
Aunque no se conoce cómo fueron atraídas o descubrieron el sitio web malicioso, ESET sospecha que las víctimas de esta campaña fueron seleccionadas específicamente, ya que la posibilidad de descargar la aplicación estaba condicionada a tener una cuenta, y no fue posible registrar una nueva cuenta durante el análisis.
ESET recomienda a los usuarios mantener sus dispositivos actualizados con las últimas versiones de software y utilizar soluciones de seguridad confiables para protegerse contra este tipo de amenazas. Además, es esencial descargar aplicaciones únicamente de fuentes oficiales y tener precaución al proporcionar información personal o iniciar sesión en aplicaciones o sitios web desconocidos.
Publicar un comentario