Os dispositivos Android estão sofrendo uma nova campanha de malware espalhando a versão mais recente do GravityRAT, em andamento desde agosto de 2022, infectando dispositivos móveis com um aplicativo de bate-papo trojanizado chamado BingeChat, que tenta roubar dados de backups do WhatsApp das vítimas.
Malware Android GravityRAT agora rouba backups do WhatsApp
De acordo com o pesquisador da ESET (Via: Bleeping Computer), Lukas Stefanko, que analisou uma amostra depois de receber uma dica do MalwareHunterTeam, uma das novidades notáveis detectadas na versão mais recente do GravityRAT é o roubo de arquivos de backup do WhatsApp.
Os backups do WhatsApp são criados para ajudar os usuários a portar seu histórico de mensagens, arquivos de mídia e dados para novos dispositivos, para que possam conter dados confidenciais, como texto, vídeo, fotos, documentos e muito mais, tudo de forma não criptografada. O GravityRAT está ativo desde pelo menos 2015, mas começou a segmentar o Android pela primeira vez em 2020 . Seus operadores, ‘SpaceCobra’, usam o spyware exclusivamente e em operações de direcionamento restrito.
Campanha Android atual
O spyware é distribuído sob o nome BingeChat, supostamente um aplicativo de bate-papo criptografado de ponta a ponta com uma interface simples, mas com recursos avançados. A ESET diz que o aplicativo é entregue por meio de “bingechat[.]net” e possivelmente outros domínios ou canais de distribuição, mas o download é baseado em convite, exigindo que os visitantes insiram credenciais válidas ou registrem uma nova conta.
Embora os registros estejam atualmente fechados, esse método permite que eles distribuam apenas os aplicativos maliciosos para as pessoas visadas. Também torna mais difícil para os pesquisadores acessar uma cópia para análise.
Promover APKs Android maliciosos a alvos é uma tática que os operadores do GravityRAT empregaram novamente em 2021, usando um aplicativo de bate-papo chamado ‘SoSafe’ e, antes disso, outro chamado ‘Travel Mate Pro’.
Notícias Relacionadas
Malware GitHub
Campanha inteligente abusa de repositórios GitHub para enviar malware
Uma nova campanha de ameaças inteligente abusa de repositórios do GitHub para distribuir o malware de roubo de senhas chamado Lumma Stealer. A campanha visa usuários que frequentam um repositório de projeto de código aberto ou que estão inscritos para receber notificações por e-mail dele. Malware Lumma Stealer sendo distribuído via repositórios GitHub Um usuário […]
Desenvolvedores Python
Desenvolvedores Python estão sendo hackeados via teste de codificação de gerenciador de senhas falso
Membros Lazarus Group estão se passando por recrutadores, hackeando desenvolvedores Python com projetos de teste de codificação para produtos de gerenciamento de senhas que incluem malware. Desenvolvedores Python hackeados Os ataques de malwares fazem parte da ‘campanha VMConnect’ detectada pela primeira vez em agosto de 2023 (Via: Bleeping Computer), onde os cibercriminosos visavam desenvolvedores de […]
Stefanko descobriu que o aplicativo é uma versão trojanizada do OMEMO IM, um aplicativo legítimo de mensagens instantâneas de código aberto para Android. Ao pesquisar mais, o analista da ESET descobriu que o SpaceCobra havia usado o OMEMO IM como base para outro aplicativo falso chamado “Chatico”, que foi distribuído para alvos no verão de 2022 por meio do agora offline “chatico.co[.]uk”.
Capacidades do GravityRAT
O BingeChat solicita permissões arriscadas após sua instalação no dispositivo do alvo, incluindo acesso a contatos, localização, telefone, SMS, armazenamento, registros de chamadas, câmera e microfone. Essas são permissões padrão para aplicativos de mensagens instantâneas, portanto, é improvável que levantem suspeitas ou pareçam anormais para a vítima.
Antes de o usuário se registrar no BingeChat, o aplicativo envia registros de chamadas, listas de contatos, mensagens SMS, localização do dispositivo e informações básicas do dispositivo para o servidor de comando e controle (C2) do agente da ameaça.
Além disso, arquivos de mídia e documentos de jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18 e tipos crypt32, também são roubados. As extensões do arquivo crypt correspondem aos backups do WhatsApp Messenger mencionados anteriormente.
Embora as campanhas do SpaceCobra sejam altamente direcionadas e geralmente focadas na Índia, todos os usuários do Android devem evitar baixar APKs de fora do Google Play.
