BRATISLAVA, KOŠICE — 16 de junio de 2023 — Los investigadores de ESET han identificado una versión actualizada del spyware GravityRAT basado en Android que se distribuye como las aplicaciones de mensajería BingeChat y Chatico. GravityRAT es una herramienta de acceso remoto utilizada anteriormente en ataques dirigidos contra usuarios de la India. Hay versiones disponibles para Windows, Android y macOS. El actor detrás de GravityRAT sigue siendo desconocido, mientras que ESET Research rastrea activamente al grupo conocido como SpaceCobra. Probablemente activa desde agosto de 2022, la campaña BingeChat sigue en curso. En la campaña recién descubierta, GravityRAT puede filtrar copias de seguridad de WhatsApp y recibir comandos para eliminar archivos. Las aplicaciones maliciosas también ofrecen funciones legítimas de chat basadas en la aplicación de código abierto OMEMO Instant Messenger.
Al igual que en las campañas de SpaceCobra documentadas anteriormente, la campaña de Chatico iba dirigida a usuarios de la India. La aplicación BingeChat se distribuye a través de una web que requiere registro, probablemente abierto sólo cuando los atacantes esperan que determinadas víctimas lo visiten, posiblemente con una dirección IP concreta, geolocalización, URL personalizada o en un plazo de tiempo específico. En cualquier caso, es muy probable que la campaña esté muy dirigida.
“Encontramos una web que debería proporcionar la aplicación maliciosa tras pulsar el botón DESCARGAR APP; sin embargo, requiere que los visitantes inicien sesión. No teníamos credenciales y los registros estaban cerrados. Lo más probable es que los delincuentes sólo abran el registro cuando esperan la visita de una víctima concreta, posiblemente con una dirección IP, una geolocalización, una URL personalizada o en un plazo de tiempo específico”, declara el investigador de ESET Lukáš Štefanko, quién investigó las aplicaciones maliciosas. “Aunque no pudimos descargar la aplicación BingeChat a través de la web, pudimos encontrar una URL de distribución en VirusTotal”, añade. La aplicación maliciosa nunca ha estado disponible en la tienda Google Play.
ESET Research desconoce cómo las víctimas potenciales fueron atraídas o descubrieron el sitio web malicioso. Teniendo en cuenta que la descarga de la aplicación está condicionada a tener una cuenta y que no fue posible registrar un nuevo usuario durante la investigación, ESET cree que las víctimas potenciales fueron atacadas de forma específica.
El grupo detrás del malware sigue siendo desconocido, aunque los investigadores de Facebook atribuyen GravityRAT a un grupo con sede en Pakistán, como se especuló anteriormente por Cisco Talos. ESET rastrea el grupo bajo el nombre de SpaceCobra, y atribuye a este grupo tanto las campañas de BingeChat como las de Chatico.
Como parte de la funcionalidad legítima de la aplicación, ofrece opciones para crear una cuenta e iniciar sesión. Antes de que el usuario inicie sesión en la aplicación, GravityRAT comienza a interactuar con su servidor de C&C, exfiltrando los datos del usuario del dispositivo y esperando a que se ejecuten los comandos. GravityRAT es capaz de exfiltrar registros de llamadas, lista de contactos, mensajes SMS, ubicación del dispositivo, información básica del dispositivo y archivos con extensiones específicas para imágenes, fotos y documentos. Esta versión de GravityRAT tiene dos pequeñas actualizaciones en comparación con versiones anteriores de GravityRAT conocidas públicamente: la exfiltración de copias de seguridad de WhatsApp y la recepción de comandos para eliminar archivos.
Para obtener más información técnica sobre SpaceCobra y la última campaña con Android GravityRAT, consulta el artículo “Android GravityRAT goes after WhatsApp backups” en WeLiveSecurity. Asegúrate de seguir a ESET Research en Twitter para conocer las últimas investigaciones realizadas por el grupo de investigadores de la compañía. |
|
|
Las copias de seguridad de WhatsApp están en el punto de mira de SpaceCobra, un grupo que utiliza el spyware GravityRAT para accederlas
Escribe un comentario
Escribe un comentario