Os usuários do WhatsApp devem prestar muita atenção ao que baixam em seus smartphones Android. Os pesquisadores da ESET detectaram uma nova versão Android do spyware GravityRAT escondido em versões infectadas dos aplicativos de mensagens BingeChat e Chatico. Como as PME, em particular, também gostam de usar smartphones privados, incluindo o WhatsApp, é preciso cautela.
No caso investigado, o aplicativo malicioso rouba backups do WhatsApp e também pode deletar arquivos dos aparelhos. Para não ser notado imediatamente, o aplicativo oferece funcionalidade de bate-papo legítima com base no aplicativo de código aberto OMEMO Instant Messenger. A ESET suspeita que o grupo SpaceCobra esteja por trás dessa campanha, que provavelmente está ativa desde agosto de 2022.
Usado em ataques direcionados
O aplicativo malicioso do BingeChat é distribuído por meio de um site que requer registro e provavelmente será aberto apenas quando os invasores esperam que certas vítimas o visitem. "Encontramos uma página da web que deve fornecer o aplicativo malicioso depois de tocar no botão BAIXAR APLICATIVO.
No entanto, os visitantes devem se registrar para isso. No entanto, não tínhamos detalhes de login e o registro foi encerrado. Assumimos que os operadores fornecem registro apenas quando esperam a visita de uma vítima específica. Alvos em potencial podem precisar de um endereço IP específico, geolocalização, URL personalizado ou precisam visitar o site em um horário específico”, diz Lukas Stefanko, pesquisador da ESET. O aplicativo nunca foi disponibilizado na Google Play Store.
O aplicativo fraudulento Chatico tinha como alvo um usuário na Índia. No geral, os pesquisadores da ESET suspeitam que a campanha é muito direcionada e que alvos cuidadosamente selecionados estão sendo atacados.
Atores por trás da campanha não são claros
O grupo por trás do malware permanece desconhecido. Pesquisadores do Facebook e especialistas do Cisco Tales atribuem o GravityRAT a um grupo baseado no Paquistão. A ESET os monitora sob o nome de SpaceCobra e rastreia as campanhas BingeChat e Chatico para esse grupo.
Como parte da funcionalidade legítima dos aplicativos, eles oferecem opções de criação de conta e inscrição. Antes que o usuário faça login no aplicativo, o GravityRAT começa a interagir com seu servidor C&C, roubando os dados do usuário do dispositivo e aguardando a execução dos comandos. O GravityRAT é capaz de pesquisar e extrair registros de chamadas, listas de contatos, mensagens SMS, localização do dispositivo, informações básicas do dispositivo e arquivos com extensões específicas para imagens, fotos e documentos. Esta versão do GravityRAT tem duas pequenas atualizações em comparação com as versões anteriores conhecidas publicamente do GravityRAT: exfiltração de backups do WhatsApp e recebimento de comandos para excluir arquivos.
B2B CYBER SECURITY pediu chat GPT para GravityRAT
Aqui está o que o ChatGPT quer saber sobre o GravityRAT.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.