Sergio Arce
El equipo de investigación de ESET, compañía especializada en detección de amenazas dgitales, identificó una versión actualizada para Android de GravityRAT.
Se trata de un troyano (malware) de acceso remoto que se distribuye como las aplicaciones de mensajería BingeChat y Chatico.
Existen versiones disponibles de este programa maligno o malware para Windows, Android y macOS. ESET asegura que, aunque el actor detrás de este troyano sigue siendo desconocido, se rastrea al grupo como SpaceCobra.
Activo desde al menos 2015, el grupo SpaceCobra ahora amplía sus funcionalidades para exfiltrar las copias de seguridad de WhatsApp Messenger y recibir comandos para eliminar archivos.
Esta campaña utiliza aplicaciones de mensajería como señuelo para distribuir el backdoor GravityRAT.
¿Cómo lo hace?
El grupo detrás de este malware utiliza el código de la aplicación de mensajería instantánea legítima llamada Omemo para proporcionar la funcionalidad de chat en las aplicaciones de mensajería maliciosas BingeChat y Chatico.
Probablemente activa desde agosto de 2022, ESET explica que la campaña de BingeChat aún está en curso. Sin embargo, la campaña que utiliza Chatico ya no está activa.
Según el nombre del archivo APK, el app maliciosa tiene la marca BingeChat y afirma proporcionar la funcionalidad de mensajería.
Desde el equipo de ESET encontraron que el sitio web bingechat[.]net a estado distribuyendo una muestra.
El sitio web debería descargar la aplicación maliciosa después de tocar el botón DESCARGAR APLICACIÓN; sin embargo, solicita que los visitantes inicien sesión.
Según el equipo de investigación la aplicación maliciosa nunca estuvo disponible en la tienda Google Play.
Es una versión troyanizada de la aplicación de Android legítima OMEMO Instant Messenger (IM) pero tiene la marca BingeChat. OMEMO IM es una reconstrucción del cliente para Android Conversations.
¡Mucho cuidado!
Después de iniciarse, la aplicación solicita al usuario que habilite todos los permisos necesarios para funcionar correctamente.
Excepto por el permiso para leer los registros de llamadas los otros permisos solicitados son típicos de cualquier aplicación de mensajería, por lo que es posible que el usuario del dispositivo no se alarme cuando la aplicación los solicite.
Como parte de la funcionalidad legítima, la aplicación ofrece opciones para crear una cuenta e iniciar sesión.
Antes de que el usuario inicie sesión en la aplicación, GravityRAT comienza a interactuar con su servidor C&C, filtrando los datos del usuario del dispositivo y esperando que se ejecuten los comandos. GravityRAT es capaz de exfiltrar:
- registros de llamadas
- lista de contactos
- mensajes SMS
- archivos con extensiones específicas: jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32
- ubicación del dispositivo
- información básica del dispositivo
Los datos que se exfiltrarán se almacenan en archivos de texto en medios externos, luego se extraen al servidor de C&C y finalmente se eliminan.
Según ESET estos son comandos muy específicos que normalmente no se ven en el malware para Android. Las versiones anteriores de GravityRAT para Android no podían recibir comandos; solo podían cargar datos extraídos a un servidor C&C en un momento determinado.
