Android Spyware: GravityRAT rouba backups do WhatsApp

25. Junho 2023
| Sem comentários
Notícias curtas sobre segurança cibernética B2B

Compartilhar postagem

Os usuários do WhatsApp devem prestar muita atenção ao que baixam em seus smartphones Android. Os pesquisadores da ESET detectaram uma nova versão Android do spyware GravityRAT escondido em versões infectadas dos aplicativos de mensagens BingeChat e Chatico. Como as PME, em particular, também gostam de usar smartphones privados, incluindo o WhatsApp, é preciso cautela.

No caso investigado, o aplicativo malicioso rouba backups do WhatsApp e também pode deletar arquivos dos aparelhos. Para não ser notado imediatamente, o aplicativo oferece funcionalidade de bate-papo legítima com base no aplicativo de código aberto OMEMO Instant Messenger. A ESET suspeita que o grupo SpaceCobra esteja por trás dessa campanha, que provavelmente está ativa desde agosto de 2022.

Usado em ataques direcionados

O aplicativo malicioso do BingeChat é distribuído por meio de um site que requer registro e provavelmente será aberto apenas quando os invasores esperam que certas vítimas o visitem. "Encontramos uma página da web que deve fornecer o aplicativo malicioso depois de tocar no botão BAIXAR APLICATIVO.

No entanto, os visitantes devem se registrar para isso. No entanto, não tínhamos detalhes de login e o registro foi encerrado. Assumimos que os operadores fornecem registro apenas quando esperam a visita de uma vítima específica. Alvos em potencial podem precisar de um endereço IP específico, geolocalização, URL personalizado ou precisam visitar o site em um horário específico”, diz Lukas Stefanko, pesquisador da ESET. O aplicativo nunca foi disponibilizado na Google Play Store.

O aplicativo fraudulento Chatico tinha como alvo um usuário na Índia. No geral, os pesquisadores da ESET suspeitam que a campanha é muito direcionada e que alvos cuidadosamente selecionados estão sendo atacados.

Atores por trás da campanha não são claros

O grupo por trás do malware permanece desconhecido. Pesquisadores do Facebook e especialistas do Cisco Tales atribuem o GravityRAT a um grupo baseado no Paquistão. A ESET os monitora sob o nome de SpaceCobra e rastreia as campanhas BingeChat e Chatico para esse grupo.

Como parte da funcionalidade legítima dos aplicativos, eles oferecem opções de criação de conta e inscrição. Antes que o usuário faça login no aplicativo, o GravityRAT começa a interagir com seu servidor C&C, roubando os dados do usuário do dispositivo e aguardando a execução dos comandos. O GravityRAT é capaz de pesquisar e extrair registros de chamadas, listas de contatos, mensagens SMS, localização do dispositivo, informações básicas do dispositivo e arquivos com extensões específicas para imagens, fotos e documentos. Esta versão do GravityRAT tem duas pequenas atualizações em comparação com as versões anteriores conhecidas publicamente do GravityRAT: exfiltração de backups do WhatsApp e recebimento de comandos para excluir arquivos.

B2B CYBER SECURITY pediu chat GPT para GravityRAT

Aqui está o que o ChatGPT quer saber sobre o GravityRAT.

ChatGPT para GravityRAT

GravityRAT é um software malicioso conhecido como Remote Access Trojan (RAT). RATs são programas de malware que permitem que um invasor obtenha acesso não autorizado ao sistema infectado e o controle remotamente. Aqui estão algumas informações sobre o grupo GravityRAT:

  • Origem: O malware GravityRAT foi descoberto pela primeira vez em 2015 por um grupo conhecido como "The Invincible". Acredita-se que o grupo seja da Índia, já que o GravityRAT foi usado principalmente contra alvos indianos.
  • Objetivo: O GravityRAT foi projetado para executar várias atividades maliciosas, incluindo espionagem de vítimas, coleta de informações, interceptação de teclas digitadas, captura de telas e execução de comandos no sistema infectado. Acredita-se que os principais alvos do grupo GravityRAT foram organizações governamentais, estabelecimentos militares, diplomatas e instituições de pesquisa na Índia.
  • Funcionalidade: O malware GravityRAT normalmente se prolifera usando anexos de e-mail falsos ou por meio de métodos de engenharia social, nos quais os invasores se fazem passar por organizações ou indivíduos confiáveis. Depois que um sistema é infectado, o malware estabelece uma conexão com um servidor de comando e controle, que os invasores podem usar para acessar e controlar remotamente o sistema infectado.
  • Atividades: O grupo GravityRAT é conhecido por executar campanhas de malware específicas da Índia. Ela desenvolveu diferentes versões do malware GravityRAT para dificultar a detecção e simplificar suas atividades maliciosas. O malware evoluiu ao longo do tempo, introduzindo novos recursos e técnicas.

 

Mais em ESET.com

 

Sobre ESET

A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.

 

Artigos relacionados ao tema

Relatório: 40% mais phishing em todo o mundo

O relatório atual de spam e phishing da Kaspersky para 2023 fala por si: os usuários na Alemanha estão atrás ➡ Leia mais

BSI define padrões mínimos para navegadores da web

O BSI revisou o padrão mínimo para navegadores web para administração e publicou a versão 3.0. Você pode se lembrar disso ➡ Leia mais

Manipulação de dados, o perigo subestimado

Todos os anos, o Dia Mundial do Backup, em 31 de março, serve como um lembrete da importância de backups atualizados e de fácil acesso. ➡ Leia mais

Malware furtivo tem como alvo empresas europeias

Os hackers estão atacando muitas empresas em toda a Europa com malware furtivo. Os pesquisadores da ESET relataram um aumento dramático nos chamados ataques AceCryptor via ➡ Leia mais

Segurança de TI: base para LockBit 4.0 desativada

A Trend Micro, trabalhando com a Agência Nacional do Crime (NCA) do Reino Unido, analisou a versão não publicada que estava em desenvolvimento ➡ Leia mais

MDR e XDR via Google Workspace

Seja num café, num terminal de aeroporto ou num escritório doméstico – os funcionários trabalham em muitos locais. No entanto, este desenvolvimento também traz desafios ➡ Leia mais

Sistemas operacionais Windows: Quase dois milhões de computadores em risco

Não há mais atualizações para os sistemas operacionais Windows 7 e 8. Isto significa lacunas de segurança abertas e, portanto, valiosas e ➡ Leia mais

Teste: software de segurança para endpoints e PCs individuais

Os últimos resultados dos testes do laboratório AV-TEST mostram um desempenho muito bom de 16 soluções de proteção estabelecidas para Windows ➡ Leia mais

notícias curtas
, , , , ,