ClickCease Nouveau GravityRAT Android ciblant les sauvegardes WhatsApp

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Un nouveau GravityRAT Android cible les sauvegardes WhatsApp

Le 29 juin 2023 - L'équipe de relations publiques de TuxCare

Des chercheurs en sécurité d'ESET ont découvert une version mise à jour du logiciel espion Android GravityRAT, qui se concentre désormais sur l'infiltration des sauvegardes WhatsApp.

GravityRAT, un cheval de Troie d'accès à distance, est apparu pour la première fois en 2015 et constitue depuis une menace persistante. Il permet aux pirates d'accéder à distance aux appareils compromis, ce qui leur permet d'extraire divers types de données sensibles, notamment les journaux d'appels, les contacts, les messages, les emplacements, les photos, les vidéos et les documents. Bien qu'il soit compatible avec les plateformes Windows, Android et macOS, les véritables origines de GravityRAT et l'identité du groupe responsable de sa création, connu sous le nom de SpaceCobra, n'ont pas été révélées.

La dernière variante de GravityRAT, découverte par ESET, a spécifiquement ciblé les sauvegardes WhatsApp comme moyen d'accès non autorisé. En exploitant les vulnérabilités de la célèbre plateforme de messagerie, le logiciel malveillant vise à extraire une multitude d'informations personnelles de victimes peu méfiantes. Pour faciliter leurs activités malveillantes, les opérateurs du logiciel malveillant ont réaffecté les applications de messagerie BingeChat et Chatico comme véhicules de distribution. Ces applications sont utilisées pour diffuser la charge utile malveillante tout en dissimulant leurs véritables intentions.

L'application trojanisée BingeChat, conçue pour ressembler à un service légitime de messagerie et de partage de fichiers, peut être téléchargée à partir d'un site web dédié. En revanche, l'application Chatico, qui était autrefois active, n'est plus opérationnelle. La campagne semble très ciblée, les attaquants s'attendant à ce que des victimes spécifiques visitent le site web en fonction de facteurs tels que l'adresse IP, la géolocalisation, l'URL personnalisée ou des périodes spécifiques.

En cas de compromission réussie, le logiciel malveillant extrait les fichiers de sauvegarde WhatsApp non chiffrés, ce qui permet aux attaquants d'avoir un accès complet aux messages, photos, vidéos, documents et autres éléments multimédias de l'utilisateur stockés dans le fichier de sauvegarde. ESET a publié un avertissement indiquant que l'application est diffusée via "bingechat[.]net" et potentiellement d'autres domaines ou canaux de distribution. Cependant, l'accès au téléchargement se fait sur invitation, ce qui complique la tâche des chercheurs qui souhaitent obtenir des copies à des fins d'analyse.

Les opérateurs de GravityRAT ont démontré qu'ils utilisaient régulièrement des applications de chat pour propager leurs charges utiles malveillantes. Dans des cas précédents, ils ont utilisé des applications telles que " SoSafe " et " Travel Mate Pro " pour promouvoir des APK Android malveillants. L'analyse d'ESET a également révélé que l'application trojanisée BingeChat est en fait une version modifiée d'OMEMO IM, une application légitime de messagerie instantanée à source ouverte pour Android. Ces liens entre GravityRAT, OMEMO IM et la fausse application nommée "Chatico" illustrent les tactiques sophistiquées employées par le groupe SpaceCobra.

Les sources de cet article comprennent un article paru dans InfoSecurityMagazine.

Résumé
Nouveau GravityRAT Android ciblant les sauvegardes WhatsApp
Nom de l'article
Nouveau GravityRAT Android ciblant les sauvegardes WhatsApp
Description
Des chercheurs en sécurité d'ESET ont découvert une version mise à jour du logiciel espion Android GravityRAT qui s'infiltre dans les sauvegardes WhatsApp.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information