El software espía GravityRAT de Android roba los archivos de copia de seguridad de WhatsApp

Desde agosto de 2022, un virus de Android recientemente descubierto llamado ” GravityRAT ” ha circulado rápidamente a través de una nueva campaña de malware de Android.

Obtiene acceso a los teléfonos haciéndose pasar por una aplicación de chat fraudulenta llamada ‘ BingeChat ‘ para robar datos confidenciales de los usuarios .

El investigador de ESET, Lukas Stefanko, descubrió que la última versión de GravityRAT ahora roba los archivos de respaldo de WhatsApp .

La creación de copias de seguridad de WhatsApp tiene como objetivo facilitar la migración del historial de mensajes, archivos multimedia y datos de los usuarios a dispositivos diferentes o nuevos.

Si bien es crucial tener en cuenta que estas copias de seguridad pueden incluir datos confidenciales sin cifrar como:

• Texto
• Video
• Fotos
• Documentos

Análisis técnico

Desde 2015, GravityRAT ha estado activo y en funcionamiento, pero cambió su enfoque a dispositivos Android en 2020 por primera vez.

El spyware es utilizado exclusivamente por ‘ SpaceCobra ‘, sus operadores, para operaciones seleccionadas con objetivos específicos.

El spyware se disfraza como una aplicación de chat llamada ‘BingeChat’, que pretende ofrecer:

• Encriptado de fin a fin
• Una interfaz fácil de usar
• Funcionalidades avanzadas

La entrega de la aplicación se realiza a través del sitio web “bingechat[.]net” u otras plataformas disponibles.

Sin embargo, descargarlo requiere una invitación, lo que incita a los visitantes a registrar una nueva cuenta o proporcionar datos confidenciales como credenciales.

Actualmente, los registros están cerrados y este método se emplea únicamente con el fin de dirigirse a personas específicas con la distribución de aplicaciones maliciosas.

En 2021, los operadores de GravityRAT volvieron a emplear la táctica de promocionar APK maliciosos de Android entre sus objetivos.

Esta vez, utilizaron una aplicación de chat llamada ‘SoSafe ‘, mientras que antes se usaba una aplicación anterior llamada ‘ Travel Mate Pro ‘.

Stefanko descubrió que la aplicación es una versión modificada de OMEMO IM , que es una auténtica aplicación de mensajería instantánea de código abierto para Android pero ahora está infundida con un troyano.

Un analista de ESET reveló que SpaceCobra empleó una aplicación fraudulenta llamada ” Chatico “.

Esta aplicación se distribuyó a personas específicas a través del sitio web “chatico.co[.]uk” durante el verano de 2022.

Permisos solicitados

Tras la instalación en el dispositivo del objetivo , BingeChat solicita permisos que presentan riesgos potenciales. Los permisos incluyen acceso a lo siguiente:-

• Contactos
• Ubicación
• Teléfono
• SMS
• Almacenamiento
• Registros de llamadas
• Cámara
• Micrófono

Como las aplicaciones de mensajería instantánea comúnmente requieren estos permisos, es poco probable que despierten sospechas o parezcan extraños para la persona objetivo.

Cuando un usuario intenta registrarse en BingeChat , la aplicación transfiere los siguientes detalles automáticamente a un servidor C2 operado por el actor de amenazas:-

• Registros de llamadas
• Listas de contactos
• mensajes SMS
• Ubicación del dispositivo
• Información básica del dispositivo

Como medida de seguridad, se recomienda que los usuarios eviten descargar APK de otras fuentes desconocidas o poco confiables.

Además, es importante tener cuidado y estar atento a los permisos de la aplicación durante la instalación.