Los usuarios de WhatsApp deben prestar mucha atención a lo que descargan en sus teléfonos inteligentes Android. Los investigadores de ESET han detectado una nueva versión de Android del software espía GravityRAT escondido en versiones infectadas de las aplicaciones de mensajería BingeChat y Chatico. Dado que a las PYME en particular también les gusta usar teléfonos inteligentes privados, incluido WhatsApp, se recomienda precaución.
En el caso bajo investigación, la aplicación maliciosa roba las copias de seguridad de WhatsApp y también puede eliminar archivos en los dispositivos. Para que no se note de inmediato, la aplicación ofrece una función de chat legítima basada en la aplicación de código abierto OMEMO Instant Messenger. ESET sospecha que el grupo SpaceCobra está detrás de esta campaña, que probablemente ha estado activa desde agosto de 2022.
Utilizado en ataques dirigidos
La aplicación maliciosa BingeChat se distribuye a través de un sitio web que requiere registro y es probable que se abra solo cuando los atacantes esperan que ciertas víctimas lo visiten. "Encontramos una página web que debería proporcionar la aplicación maliciosa después de tocar el botón DESCARGAR APLICACIÓN.
Sin embargo, los visitantes deben registrarse para esto. Sin embargo, no teníamos detalles de inicio de sesión y el registro estaba cerrado. Suponemos que los operadores brindan registro solo cuando esperan que una víctima específica los visite. Los objetivos potenciales pueden necesitar una dirección IP específica, geolocalización, URL personalizada o visitar el sitio web en un momento específico”, dice el investigador de ESET Lukas Stefanko. La aplicación nunca estuvo disponible en Google Play Store.
La aplicación Chatico manipulada se dirigió a un usuario en la India. En general, los investigadores de ESET sospechan que la campaña está muy dirigida y que se están atacando objetivos cuidadosamente seleccionados.
Los actores detrás de la campaña no están claros
El grupo detrás del malware sigue siendo desconocido. Los investigadores de Facebook y los expertos de Cisco Tales atribuyen GravityRAT a un grupo con sede en Pakistán. ESET los monitorea bajo el nombre de SpaceCobra y rastrea las campañas de BingeChat y Chatico hasta este grupo.
Como parte de la funcionalidad legítima de las aplicaciones, ofrecen opciones de registro y creación de cuentas. Antes de que el usuario inicie sesión en la aplicación, GravityRAT comienza a interactuar con su servidor C&C, robando los datos del usuario del dispositivo y esperando que se ejecuten los comandos. GravityRAT puede buscar y filtrar registros de llamadas, listas de contactos, mensajes SMS, ubicación del dispositivo, información básica del dispositivo y archivos con ciertas extensiones para imágenes, fotos y documentos. Esta versión de GravityRAT tiene dos pequeñas actualizaciones en comparación con las versiones anteriores de GravityRAT conocidas públicamente: exfiltración de las copias de seguridad de WhatsApp y recepción de comandos para eliminar archivos.
SEGURIDAD CIBERNÉTICA B2B pidió chat GPT para GravityRAT
Esto es lo que ChatGPT quiere saber sobre GravityRAT.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.