el-pais -

¡Cuidado con los acosadores! GravityRAT, el software espía que va por tu copia de seguridad de WhatsApp

El equipo de investigación de ESET analiza un software espía que roba archivos de la copia de seguridad de WhatsApp.

Redacción web

El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó una versión actualizada para Android de GravityRAT, un troyano de acceso remoto que se distribuye como las aplicaciones de mensajería BingeChat y Chatico. Existen versiones disponibles de este malware para Windows, Android y macOS, y si bien el actor detrás de este troyano sigue siendo desconocido desde ESET se rastrea al grupo como SpaceCobra.

Activo desde al menos 2015, el grupo SpaceCobra ahora amplió sus funcionalidades para exfiltrar las copias de seguridad de WhatsApp Messenger y recibir comandos para eliminar archivos. Esta campaña utiliza aplicaciones de mensajería como señuelo para para distribuir el backdoor GravityRAT.  

El grupo detrás de este malware utiliza el código de la aplicación de mensajería instantánea legítima llamada OMEMO para proporcionar la funcionalidad de chat en las aplicaciones de mensajería maliciosas BingeChat y Chatico. Probablemente activa desde agosto de 2022, según ESET la campaña de BingeChat aún está en curso. Sin embargo, la campaña que utiliza Chatico ya no está activa. 

Según el nombre del archivo APK, la app maliciosa tiene la marca BingeChat y afirma proporcionar la funcionalidad de mensajería. Desde el equipo de ESET encontraron que el sitio web bingechat[.]net a estado distribuyendo una muestra. 

El sitio web debería descargar la aplicación maliciosa después de tocar el botón DESCARGAR APLICACIÓN; sin embargo, solicita que los visitantes inicien sesión. “No teníamos credenciales y los registros estaban cerrados. Lo más probable es que los operadores detrás de esta campaña solo abran el registro cuando esperan que una víctima específica visite el sitio, posiblemente a través de una dirección IP particular, geolocalización, una URL personalizada o dentro de un período de tiempo específico. Por lo tanto, creemos que las víctimas potenciales son altamente específicas.”,  comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica. 

 

También puedes leer: ¡Pobres almas! Sancionan a 'Push' por no entregar factura a clientes

Según el equipo de investigación la aplicación maliciosa nunca estuvo disponible en la tienda Google Play. Es una versión troyanizada de la aplicación de Android legítima OMEMO Instant Messenger (IM) pero tiene la marca BingeChat. OMEMO IM es una reconstrucción del cliente para Android Conversations.

Después de iniciarse, la aplicación solicita al usuario que habilite todos los permisos necesarios para funcionar correctamente. Excepto por el permiso para leer los registros de llamadas los otros permisos solicitados son típicos de cualquier aplicación de mensajería, por lo que es posible que el usuario del dispositivo no se alarme cuando la aplicación los solicite.

Como parte de la funcionalidad legítima, la aplicación ofrece opciones para crear una cuenta e iniciar sesión. Antes de que el usuario inicie sesión en la aplicación, GravityRAT comienza a interactuar con su servidor C&C, filtrando los datos del usuario del dispositivo y esperando que se ejecuten los comandos. GravityRAT es capaz de exfiltrar:

registros de llamadas lista de contactos mensajes SMS archivos con extensiones específicas: jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32 ubicación del dispositivo información básica del dispositivo

Los datos que se exfiltrarán se almacenan en archivos de texto en medios externos, luego se extraen al servidor de C&C y finalmente se eliminan. Según ESET estos son comandos muy específicos que normalmente no se ven en el malware para Android. Las versiones anteriores de GravityRAT para Android no podían recibir comandos; solo podían cargar datos extraídos a un servidor C&C en un momento determinado.

“No sabemos cómo fue que las potenciales víctimas fueron atraídas o descubrieron el sitio web malicioso. Teniendo en cuenta que la posibilidad de descargar la aplicación está condicionada a tener una cuenta y que no fue posible registrar una nueva cuenta al momento del análisis, creemos que las víctimas de esta campaña fueron especialmente seleccionadas.”, menciona el investigador.

También puedes leer. ¿Aprovechó en Aruba? Le piden a Kathy Phillips que trabaje en un hermanito para Lyann

 

Los datos de telemetría de ESET no han registrado ninguna víctima de esta campaña de BingeChat, lo que sugiere además que la campaña probablemente tenga un objetivo limitado. Sin embargo, se tiene una detección de otra muestra para Android de GravityRAT en India que data de junio de 2022. En este caso, GravityRAT se denominó Chatico.

Al igual que BingeChat, Chatico se basa en la aplicación OMEMO Instant Messenger y está troyanizada con GravityRAT. Según ESET, lo más probable es que Chatico se distribuyera a través del sitio web chatico.co[.]uk y también se comunicara con un servidor de C&C. Los dominios tanto del sitio web como del servidor de C&C ahora están fuera de línea.

Etiquetas
Más Noticias

El País Disminuyen los casos de gastroenteritis en David

Fama Del reality al embarazo: María del Pilar y Barceló anuncian que serán padres

El País Los gobiernos de Xi y Mulino abordarán conflicto portuario en reuniones en China este mes

Fama Cultura Profética anuncia su gira internacional 'En Bucle' y Panamá figura entre los destinos

El País Estudiante resulta herido con arma blanca dentro del Colegio José Guardia Vega

Fama ¡Ahora sí! Alexa Chacón revela la fecha de lanzamiento de su primer libro

El País Mulino y Fujimori proponen revitalizar el tratado comercial entre Panamá y Perú

El País Hallan sin vida al representante de Barrio Colón, Héctor Sambrano

Deportes Federación neerlandesa presenta denuncia por insultos racistas a jugadores tras el Mundial

Mundo Gobierno de Trump frenó regreso de Machado a Venezuela tras terremotos, según el WSJ

El País El Canal de Panamá reduce el calado para buques neopanamax a causa de El Niño

Deportes 83-70. Panamá vence a Cuba y sella su clasificación a la siguiente fase rumbo a Catar 2027

El País Mulino resalta importancia del principio de independencia durante celebración de los 250 años de Estados Unidos

El País MP pide ayuda para ubicar a joven desaparecido

El País Ricardo Lombana critica a Mulino y asegura que 'el pueblo' no percibe las mejoras que anuncia el Gobierno

El País Brote en Chiriquí: Casos de vómitos y diarrea en David superan los 1,500; Minsa identifica posible causa

El País Alcaldía de Arraiján solicita la reubicación de la estación de Bomberos

El País Rescatistas panameños evalúan 170 estructuras afectadas por los terremotos en Venezuela

El País ¡Siguen en la zona! Bomberos aún trabajan tras el devastador incendio en el Casco Antiguo

El País Bomberos controlan incendio de dos vehículos en PH de San Francisco

El País Rescatistas panameños han evaluado 170 estructuras en Venezuela

El País Mulino dice que bajan las detenciones de barcos con bandera panameña en China

Mundo Chile prevé el fenómeno de El Niño más intenso de su historia

El País Panamá tendrá una cárcel de máxima seguridad e incorporará drones en operativos policiales

El País Trump reitera que EE.UU. no permitirá que China tome el control del Canal de Panamá

El País Panamá busca a un nacional desaparecido en Venezuela tras los terremotos

Fama Franklyn Robinson indignado con venezolanos luego de múltiples quejas y exigencias por donaciones

El País Panamá pedirá que siete panameños detenidos en Cuba cumplan eventual condena en su país