Os investigadores da ESET analisaram uma versão atualizada do spyware GravityRAT para Android que rouba ficheiros backup do WhatsApp e pode receber comandos para eliminar ficheiros
Investigadores da ESET identificaram uma versão atualizada do spyware GravityRAT para Android que está a ser distribuída como as aplicações de mensagens BingeChat e Chatico. O GravityRAT é uma ferramenta de acesso remoto conhecida desde pelo menos 2015 e anteriormente utilizada em ataques direcionados na Índia. Estão disponíveis versões para Windows, Android e macOS. O responsável por detrás do GravityRAT permanece desconhecido; a ESET segue o grupo internamente como SpaceCobra.
Muito provavelmente ativa desde agosto de 2022, a campanha BingeChat ainda está em curso; no entanto, a campanha que utiliza o Chatico já não está ativa. O BingeChat é distribuído através de um website que publicita serviços de mensagens gratuitos. Notável na campanha recém-descoberta, o GravityRAT pode roubar backups do WhatsApp e receber comandos para eliminar ficheiros. As aplicações maliciosas também fornecem funcionalidades de conversação legítimas baseadas na app de código aberto OMEMO Instant Messenger.
O grupo SpaceCobra ressuscitou o GravityRAT para incluir estas funcionalidades expandidas e, tal como anteriormente, a campanha utiliza aplicações de mensagens como cobertura para distribuir a backdoor do GravityRAT. De acordo com a telemetria da ESET, um utilizador na Índia foi alvo da versão atualizada do Chatico, semelhante às campanhas do SpaceCobra documentadas anteriormente, mas tanto o website como o servidor de comando e controlo associados ao Chatico estão offline neste momento.
Por outro lado, a campanha que utiliza o BingeChat ainda está ativa, distribuindo o malware através de um website que requer registo, provavelmente aberto apenas quando os atacantes esperam que vítimas específicas o visitem, possivelmente com um determinado endereço IP, geolocalização, URL personalizado ou dentro de um período de tempo específico. Em qualquer caso, a ESET acredita que a campanha é altamente direcionada.
Para mais detalhes técnicos sobre a campanha, leia este artigo no WeLiveSecurity (em inglês).
