ESET descobre nova versão do spyware GravityRAT que rouba backups do WhatsApp

Próximo artigo

Os investigadores da ESET analisaram uma versão atualizada do spyware GravityRAT para Android que rouba ficheiros backup do WhatsApp e pode receber comandos para eliminar ficheiros

 

 

 

Investigadores da ESET, empresa europeia líder em soluções de cibersegurança, identificaram uma versão atualizada do spyware GravityRAT para Android que está a ser distribuída como as aplicações de mensagens BingeChat e Chatico. O GravityRAT é uma ferramenta de acesso remoto conhecida desde pelo menos 2015 e anteriormente utilizada em ataques direcionados na Índia. Estão disponíveis versões para Windows, Android e macOS. O responsável por detrás do GravityRAT permanece desconhecido; a ESET segue o grupo internamente como SpaceCobra.

Muito provavelmente ativa desde agosto de 2022, a campanha BingeChat ainda está em curso; no entanto, a campanha que utiliza o Chatico já não está ativa. O BingeChat é distribuído através de um website que publicita serviços de mensagens gratuitos. Notável na campanha recém-descoberta, o GravityRAT pode roubar backups do WhatsApp e receber comandos para eliminar ficheiros. As aplicações maliciosas também fornecem funcionalidades de conversação legítimas baseadas na app de código aberto OMEMO Instant Messenger.

O grupo SpaceCobra ressuscitou o GravityRAT para incluir estas funcionalidades expandidas e, tal como anteriormente, a campanha utiliza aplicações de mensagens como cobertura para distribuir a backdoor do GravityRAT. De acordo com a telemetria da ESET, um utilizador na Índia foi alvo da versão atualizada do Chatico, semelhante às campanhas do SpaceCobra documentadas anteriormente, mas tanto o website como o servidor de comando e controlo associados ao Chatico estão offline neste momento.

Por outro lado, a campanha que utiliza o BingeChat ainda está ativa, distribuindo o malware através de um website que requer registo, provavelmente aberto apenas quando os atacantes esperam que vítimas específicas o visitem, possivelmente com um determinado endereço IP, geolocalização, URL personalizado ou dentro de um período de tempo específico. Em qualquer caso, a ESET acredita que a campanha é altamente direcionada.

Para mais detalhes técnicos sobre a campanha, leia este artigo no WeLiveSecurity (em inglês).