Una versión actualizada de un troyano de acceso remoto de Android denominado GravityRAT se ha encontrado haciéndose pasar por las aplicaciones de mensajería BingeChat y Chatico como parte de una campaña específica desde junio de 2022.
«Notable en la campaña recién descubierta, GravityRAT puede filtrar las copias de seguridad de WhatsApp y recibir comandos para eliminar archivos», dijo el investigador de ESET Lukáš Štefanko. dicho en un nuevo informe publicado hoy.
«Las aplicaciones maliciosas también brindan una funcionalidad de chat legítima basada en el código abierto OMEMO Aplicación de mensajería instantánea».
GravityRAT es el nombre que se le da a un malware multiplataforma que es capaz de atacar dispositivos Windows, Android y macOS. La firma de ciberseguridad eslovaca está rastreando la actividad bajo el nombre de SpaceCobra.
Se sospecha que el actor de amenazas tiene su sede en Pakistán, con ataques recientes que involucran a GravityRAT contra personal militar en India y entre la Fuerza Aérea de Pakistán al camuflarlo como aplicaciones de almacenamiento y entretenimiento en la nube, como lo reveló Meta el mes pasado.
El uso de aplicaciones de chat como señuelo para distribuir el malware fue destacado previamente en noviembre de 2021 por Cyble, que analizado una muestra denominada «SoSafe Chat» que se cargó en la base de datos de VirusTotal desde India.
Las aplicaciones de chat, aunque no están disponibles en Google Play, se distribuyen a través de sitios web falsos que promocionan servicios de mensajería gratuitos: bingechat[.]net y chatico[.]co[.]Reino Unido.
“Este grupo usó personajes ficticios, haciéndose pasar por reclutadores para empresas y gobiernos de defensa legítimos y falsos, personal militar, periodistas y mujeres que buscaban hacer una conexión romántica, en un intento de generar confianza con las personas a las que apuntaban”, dijo Meta en su Informe trimestral de amenazas adversarias.
El modus operandi sugiere que se contacta a los objetivos potenciales en Facebook e Instagram con el objetivo de engañarlos para que hagan clic en los enlaces y descarguen las aplicaciones maliciosas.
GravityRAT, como la mayoría de las puertas traseras de Android, solicita permisos intrusivos bajo la apariencia de una aplicación aparentemente legítima para recolectar información confidencial como contactos, SMS, registros de llamadas, archivos, datos de ubicación y grabaciones de audio sin el conocimiento de la víctima.
Los datos capturados finalmente se filtran a un servidor remoto bajo el control del actor de amenazas. Vale la pena señalar que el uso de la aplicación está condicionado a tener una cuenta.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Lo que destaca a la nueva versión de GravityRAT es su capacidad para robar archivos de respaldo de WhatsApp y recibir instrucciones del servidor de comando y control (C2) para eliminar registros de llamadas, listas de contactos y archivos con extensiones particulares.
«Estos son comandos muy específicos que normalmente no se ven en el malware de Android», señaló Štefanko.
El desarrollo se produce cuando los usuarios de Android en Vietnam han sido víctimas de una nueva variedad de malware bancario cum ladrón conocido como Hola, maestro que utiliza aplicaciones de mensajería legítimas como Viber o Kik como tapadera para desviar datos confidenciales y realizar transferencias de fondos no autorizadas abusando de la API de servicios de accesibilidad.
Cyble también descubrió una estafa de minería en la nube que «incita a los usuarios a descargar una aplicación maliciosa para comenzar a minar», solo para aprovechar sus permisos a los servicios de accesibilidad para recopilar información confidencial de las billeteras de criptomonedas y las aplicaciones bancarias.
El troyano financiero, cuyo nombre en código es Roamer, ejemplifica la tendencia de utilizar sitios web de phishing y canales de Telegram como vectores de distribución, lo que amplía efectivamente el grupo de víctimas potenciales.
«Los usuarios deben tener cuidado y abstenerse de seguir canales sospechosos de minería de criptomonedas en plataformas como Telegram, ya que estos canales pueden generar pérdidas financieras sustanciales y comprometer datos personales confidenciales», Cyble dicho.