Les utilisateurs de WhatsApp doivent porter une attention particulière à ce qu'ils téléchargent sur leurs smartphones Android. Les chercheurs d'ESET ont détecté une nouvelle version Android du logiciel espion GravityRAT se cachant dans les versions infectées des applications de messagerie BingeChat et Chatico. Étant donné que les PME, en particulier, aiment également utiliser des smartphones privés, y compris WhatsApp, la prudence s'impose.
Dans le cas sous enquête, l'application malveillante vole les sauvegardes de WhatsApp et peut également supprimer des fichiers sur les appareils. Afin de ne pas être immédiatement remarqué, l'application propose une fonctionnalité de chat légitime basée sur l'application open source OMEMO Instant Messenger. ESET soupçonne le groupe SpaceCobra d'être à l'origine de cette campagne, probablement active depuis août 2022.
Utilisé dans les attaques ciblées
L'application malveillante BingeChat est distribuée via un site Web qui nécessite une inscription et ne sera probablement ouverte que lorsque les attaquants s'attendent à ce que certaines victimes la visitent. "Nous avons trouvé une page Web qui devrait fournir l'application malveillante après avoir appuyé sur le bouton TÉLÉCHARGER L'APPLICATION.
Cependant, les visiteurs doivent s'inscrire pour cela. Cependant, nous n'avions pas d'informations de connexion et l'inscription a été fermée. Nous supposons que les opérateurs fournissent un enregistrement uniquement lorsqu'ils s'attendent à ce qu'une victime spécifique se rende sur place. Les cibles potentielles peuvent avoir besoin d'une adresse IP spécifique, d'une géolocalisation, d'une URL personnalisée ou avoir besoin de visiter le site Web à un moment précis », explique Lukas Stefanko, chercheur chez ESET. L'application n'a jamais été mise à disposition sur le Google Play Store.
L'application Chatico truquée ciblait un utilisateur en Inde. Dans l'ensemble, les chercheurs d'ESET soupçonnent que la campagne est très ciblée et que des cibles soigneusement sélectionnées sont attaquées.
Les acteurs derrière la campagne ne sont pas clairs
Le groupe derrière le malware reste inconnu. Les chercheurs de Facebook et les experts de Cisco Tales attribuent GravityRAT à un groupe basé au Pakistan. ESET les surveille sous le nom de SpaceCobra et retrace les campagnes BingeChat et Chatico jusqu'à ce groupe.
Dans le cadre de la fonctionnalité légitime des applications, elles offrent des options de création de compte et d'inscription. Avant que l'utilisateur ne se connecte à l'application, GravityRAT commence à interagir avec son serveur C&C, en volant les données de l'utilisateur de l'appareil et en attendant que les commandes soient exécutées. GravityRAT est capable de rechercher et d'exfiltrer les journaux d'appels, les listes de contacts, les messages SMS, l'emplacement de l'appareil, les informations de base sur l'appareil et les fichiers avec des extensions spécifiques pour les images, les photos et les documents. Cette version de GravityRAT a deux petites mises à jour par rapport aux versions précédentes connues publiquement de GravityRAT : l'exfiltration des sauvegardes WhatsApp et la réception de commandes pour supprimer des fichiers.
B2B CYBER SECURITY a demandé le chat GPT pour GravityRAT
Voici ce que ChatGPT veut savoir sur GravityRAT.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.