Malware Android GravityRAT agora rouba backups do WhatsApp

trojan-bancario-android-zanubis-se-disfarca-como-aplicativo-do-governo-peruano-para-fazer-suas-vitimas

Os dispositivos Android estão sofrendo uma nova campanha de malware espalhando a versão mais recente do GravityRAT, em andamento desde agosto de 2022, infectando dispositivos móveis com um aplicativo de bate-papo trojanizado chamado BingeChat, que tenta roubar dados de backups do WhatsApp das vítimas.

Malware Android GravityRAT agora rouba backups do WhatsApp

De acordo com o pesquisador da ESET (Via: Bleeping Computer), Lukas Stefanko, que analisou uma amostra depois de receber uma dica do MalwareHunterTeam, uma das novidades notáveis detectadas na versão mais recente do GravityRAT é o roubo de arquivos de backup do WhatsApp.

Os backups do WhatsApp são criados para ajudar os usuários a portar seu histórico de mensagens, arquivos de mídia e dados para novos dispositivos, para que possam conter dados confidenciais, como texto, vídeo, fotos, documentos e muito mais, tudo de forma não criptografada. O GravityRAT está ativo desde pelo menos 2015, mas começou a segmentar o Android pela primeira vez em 2020 . Seus operadores, ‘SpaceCobra’, usam o spyware exclusivamente e em operações de direcionamento restrito.

Campanha Android atual

O spyware é distribuído sob o nome BingeChat, supostamente um aplicativo de bate-papo criptografado de ponta a ponta com uma interface simples, mas com recursos avançados. A ESET diz que o aplicativo é entregue por meio de “bingechat[.]net” e possivelmente outros domínios ou canais de distribuição, mas o download é baseado em convite, exigindo que os visitantes insiram credenciais válidas ou registrem uma nova conta.

malware-android-gravityrat-agora-rouba-backups-do-whatsapp

Embora os registros estejam atualmente fechados, esse método permite que eles distribuam apenas os aplicativos maliciosos para as pessoas visadas. Também torna mais difícil para os pesquisadores acessar uma cópia para análise.

Promover APKs Android maliciosos a alvos é uma tática que os operadores do GravityRAT empregaram novamente em 2021, usando um aplicativo de bate-papo chamado ‘SoSafe’ e, antes disso, outro chamado ‘Travel Mate Pro’.

Stefanko descobriu que o aplicativo é uma versão trojanizada do OMEMO IM, um aplicativo legítimo de mensagens instantâneas de código aberto para Android. Ao pesquisar mais, o analista da ESET descobriu que o SpaceCobra havia usado o OMEMO IM como base para outro aplicativo falso chamado “Chatico”, que foi distribuído para alvos no verão de 2022 por meio do agora offline “chatico.co[.]uk”.

Capacidades do GravityRAT

O BingeChat solicita permissões arriscadas após sua instalação no dispositivo do alvo, incluindo acesso a contatos, localização, telefone, SMS, armazenamento, registros de chamadas, câmera e microfone. Essas são permissões padrão para aplicativos de mensagens instantâneas, portanto, é improvável que levantem suspeitas ou pareçam anormais para a vítima.

Antes de o usuário se registrar no BingeChat, o aplicativo envia registros de chamadas, listas de contatos, mensagens SMS, localização do dispositivo e informações básicas do dispositivo para o servidor de comando e controle (C2) do agente da ameaça.

Além disso, arquivos de mídia e documentos de jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18 e tipos crypt32, também são roubados. As extensões do arquivo crypt correspondem aos backups do WhatsApp Messenger mencionados anteriormente.

Embora as campanhas do SpaceCobra sejam altamente direcionadas e geralmente focadas na Índia, todos os usuários do Android devem evitar baixar APKs de fora do Google Play.