Nova versão do GravityRAT visa backups do WhatsApp

Da Redação
20/06/2023

Uma versão atualizada do spyware para Android GravityRAT direcionado a backups do WhatsApp foi descoberta por pesquisadores de segurança da ESET. Em um comunicado publicado pela empresa na quinta-feira passada, 15, o pesquisador de malware da ESET, Lukas Stefanko, disse que a nova variante do malware está sendo distribuída por meio de dois aplicativos de mensagens chamados BingeChat e Chatico.

O GravityRAT é uma ferramenta de acesso remoto que tem sido observada desde pelo menos 2015. Ela foi usada anteriormente em ataques direcionados contra a Índia. Embora esteja disponível para plataformas Windows, Android e macOS, sua origem e o grupo por trás do spyware, apelidado internamente pela ESET como SpaceCobra, permanecem desconhecidos.

A nova variante observada pela ESET, que começou por volta de agosto do ano passado, visa especificamente obter acesso não autorizado aos backups do WhatsApp, potencialmente comprometendo informações pessoais confidenciais.

O BingeChat e o Chatico, disponíveis na Google Play Store, foram reaproveitados para realizar essas atividades maliciosas, evitando suspeitas iniciais. “O aplicativo BingeChat ‘trojanizado’ está disponível para download em um site que o apresenta como um serviço gratuito de mensagens e compartilhamento de arquivos”, escreveu Stefanko.

Os recursos do malware incluem a extração de dados do usuário de dispositivos comprometidos e a emissão remota de comandos para excluir informações. Os aplicativos maliciosos também fornecem funcionalidade de bate-papo legítima com base no aplicativo OMEMO Instant Messenger de código aberto.

Veja isso
App de gravação de tela iRecorder é ‘trojanizado’ com AhRat
WhatsApp admite uso de proxy para ‘burlar’ censura na internet

A ESET esclarece que, embora o BingeChat provavelmente esteja em andamento, o aplicativo Chatico não está mais ativo.

A descoberta dessa campanha ocorreu depois que os pesquisadores de segurança da empresa foram alertados pelo MalwareHunterTeam, que compartilhou o hash de uma amostra do GravityRAT no Twitter. “De acordo com a telemetria da ESET, um usuário na Índia foi alvo da versão atualizada do RAT Chatico, semelhante às campanhas SpaceCobra documentadas anteriormente”, explicou Stefanko.

Segundo ele, a versão do BingeChat é distribuída por meio de um site que requer registro, provavelmente aberto, apenas quando os invasores esperam que vítimas específicas o visitem, possivelmente com um endereço IP específico, geolocalização, URL personalizado ou dentro de um prazo específico. “De qualquer forma, acreditamos que a campanha é altamente direcionada.”

Compartilhar: