Una nueva campaña de malware de Android que difunde la última versión de GravityRAT ha estado en marcha desde agosto de 2022, infectando dispositivos móviles con una aplicación de chat troyana llamada 'BingeChat', que intenta robar datos de los dispositivos de las víctimas.
Según el investigador de ESET, Lukas Stefanko , quien analizó una muestra después de recibir una sugerencia de MalwareHunterTeam , una de las nuevas incorporaciones notables detectadas en la última versión de GravityRAT es el robo de archivos de respaldo de WhatsApp.
Las copias de seguridad de WhatsApp se crean para ayudar a los usuarios a transferir su historial de mensajes, archivos multimedia y datos a nuevos dispositivos, de modo que puedan contener datos confidenciales como texto, video, fotos, documentos y más, todo en forma no cifrada.
GravityRAT ha estado activo desde al menos 2015, pero comenzó a apuntar a Android por primera vez en 2020 . Sus operadores, 'SpaceCobra', usan el spyware exclusivamente y en operaciones de focalización limitada.
Campaña actual de Android
El software espía se propaga bajo el nombre de 'BingeChat', supuestamente una aplicación de chat encriptada de extremo a extremo con una interfaz simple pero con funciones avanzadas.
Sitio web que difunde GravityRAT
ESET dice que la aplicación se entrega a través de "bingechat[.]net" y posiblemente otros dominios o canales de distribución, pero la descarga se basa en invitaciones, lo que requiere que los visitantes ingresen credenciales válidas o registren una nueva cuenta.
Si bien los registros están actualmente cerrados, este método solo les permite distribuir las aplicaciones maliciosas a personas específicas. También dificulta que los investigadores accedan a una copia para su análisis.
Promocionar APK maliciosos de Android a los objetivos es una táctica que los operadores de GravityRAT emplearon nuevamente en 2021 , utilizando una aplicación de chat llamada 'SoSafe' y, antes de eso, otra llamada 'Travel Mate Pro'.
Stefanko descubrió que la aplicación es una versión troyanizada de OMEMO IM , una aplicación legítima de mensajería instantánea de código abierto para Android.
Tras investigar más a fondo, el analista de ESET descubrió que SpaceCobra había utilizado OMEMO IM como base para otra aplicación falsa llamada "Chatico", que se distribuyó a los objetivos en el verano de 2022 a través del ahora fuera de línea "chatico.co[.]uk".
Diagrama operativo genérico (ESET)Capacidades de GravityRAT
BingeChat solicita permisos arriesgados tras su instalación en el dispositivo del objetivo, incluido el acceso a contactos, ubicación, teléfono, SMS, almacenamiento, registros de llamadas, cámara y micrófono.
Estos son permisos estándar para aplicaciones de mensajería instantánea, por lo que es poco probable que generen sospechas o parezcan anormales para la víctima.
Antes de que el usuario se registre en BingeChat, la aplicación envía registros de llamadas, listas de contactos, mensajes SMS, ubicación e información básica del dispositivo al servidor de comando y control (C2) del actor de amenazas.
Además, archivos multimedia y de documentos de jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18 y los tipos crypt32 también son robados.
Las extensiones de los archivos encriptados corresponden a las copias de seguridad de WhatsApp Messenger mencionadas anteriormente.
Exfiltración de datos del dispositivo de la víctima (ESET)
Otra característica nueva notable de GravityRAT es su capacidad para recibir tres comandos del C2, a saber, "eliminar todos los archivos" (de una extensión específica), "eliminar todos los contactos" y "eliminar todos los registros de llamadas".
Si bien las campañas de SpaceCobra están muy dirigidas, todos los usuarios de Android deben evitar descargar APK desde fuera de Google Play y tener cuidado con las solicitudes de permisos riesgosas al instalar cualquier aplicación.
