Uma nova campanha de malware para Android, que espalha a última versão do GravityRAT, está em andamento desde agosto de 2022, infectando dispositivos móveis com um aplicativo de chat trojanizado chamado 'BingeChat', que tenta roubar dados dos dispositivos das vítimas.
De acordo com o pesquisador da ESET, Lukas Stefanko, que analisou uma amostra após receber uma dica do MalwareHunterTeam, uma das novas adições notáveis observadas na última versão do GravityRAT é o roubo de arquivos de backup do WhatsApp.
Os backups do WhatsApp são criados para ajudar os usuários a transferir seu histórico de mensagens, arquivos de mídia e dados para novos dispositivos, para que possam conter dados sensíveis, como texto, vídeo, fotos, documentos e muito mais, todos em forma não criptografada.
O GravityRAT está ativo desde pelo menos 2015, mas começou a mirar o Android pela primeira vez em 2020.
Seus operadores, 'SpaceCobra', usam o spyware exclusivamente e em operações de mira estreita.
O spyware é distribuído sob o nome 'BingeChat', supostamente um aplicativo de bate-papo criptografado de ponta a ponta com uma interface simples, mas recursos avançados.
A ESET diz que o aplicativo é entregue por meio do "bingechat" e possivelmente outros domínios ou canais de distribuição, mas o download é baseado em convite, exigindo que os visitantes insiram credenciais válidas ou registrem uma nova conta.
Embora as inscrições estejam atualmente fechadas, esse método permite distribuir apenas aplicativos maliciosos para pessoas específicas.
Também torna mais difícil para os pesquisadores acessarem uma cópia para análise.
A promoção de APKs maliciosos para Android para alvos é uma tática que os operadores do GravityRAT empregaram novamente em 2021, usando um aplicativo de bate-papo chamado 'SoSafe' e, antes disso, outro chamado 'Travel Mate Pro'.
Stefanko descobriu que o aplicativo é uma versão trojanizada do OMEMO IM, um aplicativo de mensagens instantâneas de código aberto legítimo para Android.
Ao cavar mais fundo, o analista da ESET descobriu que o SpaceCobra havia usado o OMEMO IM como base para outro aplicativo falso chamado "Chatico", que foi distribuído para alvos no verão de 2022 por meio do agora offline o domínio "chatico co".
O BingeChat solicita permissões arriscadas ao ser instalado no dispositivo da vítima, incluindo acesso a contatos, localização, telefone, SMS, armazenamento, registros de chamadas, câmera e microfone.
Essas são permissões padrão para aplicativos de mensagens instantâneas, então é improvável que levantem suspeitas ou pareçam anormais para a vítima.
Antes que o usuário se registre no BingeChat, o aplicativo envia registros de chamadas, listas de contatos, mensagens SMS, localização do dispositivo e informações básicas do dispositivo para o servidor de comando e controle (C2) do ator ameaçador.
Além disso, arquivos de mídia e documentos dos tipos jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18 e crypt32 também são roubados.
As extensões de arquivo crypt correspondem aos backups do WhatsApp Messenger mencionados anteriormente.
Outra nova característica notável do GravityRAT é sua capacidade de receber três comandos do C2, a saber, "excluir todos os arquivos" (de uma extensão especificada), "excluir todos os contatos" e "excluir todos os registros de chamadas".
Embora as campanhas da SpaceCobra sejam altamente direcionadas e normalmente se concentrem na Índia, todos os usuários do Android devem evitar o download de APKs fora da Google Play e ter cautela com solicitações de permissão arriscadas ao instalar qualquer aplicativo.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...