ClickCease Nuevo GravityRAT para Android dirigido a las copias de seguridad de WhatsApp

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Nuevo GravityRAT para Android dirigido a las copias de seguridad de WhatsApp

29 de junio de 2023 - Equipo de RRPP de TuxCare

Investigadores de seguridad de ESET han descubierto una versión actualizada del spyware GravityRAT para Android, que ahora se centra en infiltrarse en las copias de seguridad de WhatsApp.

GravityRAT, un troyano de acceso remoto que apareció por primera vez en 2015 y ha sido una amenaza persistente desde entonces. Permite a los hackers obtener acceso remoto a los dispositivos comprometidos, lo que les permite extraer varios tipos de datos confidenciales, incluidos registros de llamadas, contactos, mensajes, ubicaciones, fotos, vídeos y documentos. Aunque es compatible con las plataformas Windows, Android y macOS, los verdaderos orígenes de GravityRAT y la identidad del grupo responsable de su creación, conocido como SpaceCobra, siguen sin desvelarse.

La última variante de GravityRAT, descubierta por ESET, se ha centrado específicamente en las copias de seguridad de WhatsApp como medio de acceso no autorizado. Aprovechando las vulnerabilidades de la popular plataforma de mensajería, el malware pretende extraer una gran cantidad de información personal de las víctimas desprevenidas. Para facilitar sus actividades maliciosas, los operadores del malware han reutilizado las aplicaciones de mensajería BingeChat y Chatico como vehículos de distribución. Estas aplicaciones se utilizan para propagar la carga maliciosa y ocultar sus verdaderas intenciones.

La aplicación troyanizada BingeChat, diseñada para parecerse a un servicio legítimo de mensajería e intercambio de archivos, puede descargarse desde un sitio web específico. Por otro lado, la aplicación Chatico, que en su día estuvo activa, ya no está operativa. La campaña parece ser muy selectiva, ya que los atacantes esperan que determinadas víctimas visiten el sitio web en función de factores como la dirección IP, la geolocalización, la URL personalizada o franjas horarias específicas.

Una vez infectado, el malware extrae los archivos de copia de seguridad de WhatsApp sin cifrar, lo que permite a los atacantes acceder a los mensajes, fotos, vídeos, documentos y otros elementos multimedia del usuario almacenados en el archivo de copia de seguridad. ESET ha emitido una advertencia indicando que la aplicación se distribuye a través de "bingechat[.]net" y potencialmente otros dominios o canales de distribución. Sin embargo, el acceso a la descarga se basa en invitaciones, lo que dificulta a los investigadores la obtención de copias para su análisis.

Los operadores de GravityRAT han demostrado un patrón consistente en el uso de aplicaciones de chat para propagar sus cargas maliciosas. En instancias anteriores, utilizaron aplicaciones como 'SoSafe' y 'Travel Mate Pro' para promover APKs maliciosos para Android. El análisis de ESET también ha revelado que la aplicación troyanizada BingeChat es, de hecho, una versión modificada de OMEMO IM, una aplicación legítima de mensajería instantánea de código abierto para Android. Estas conexiones entre GravityRAT, OMEMO IM y la aplicación falsa llamada "Chatico" ilustran las sofisticadas tácticas empleadas por el grupo SpaceCobra.

Las fuentes de este artículo incluyen un artículo de InfoSecurityMagazine.

Resumen
Nuevo GravityRAT para Android dirigido a las copias de seguridad de WhatsApp
Nombre del artículo
Nuevo GravityRAT para Android dirigido a las copias de seguridad de WhatsApp
Descripción
Investigadores de seguridad de ESET han descubierto una versión actualizada del programa espía GravityRAT para Android que se infiltra en las copias de seguridad de WhatsApp.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín