Programari maliciós mòbil GravityRAT

Des de l'agost de 2022, s'ha detectat una nova campanya de programari maliciós per a Android, que difon la darrera versió de GravityRAT i compromet els dispositius mòbils. El programari maliciós utilitza una aplicació de xat troianitzada anomenada "BingeChat" com a mitjà d'infecció, amb l'objectiu de robar dades dels dispositius de les víctimes.

L'última versió de GravityRAT inclou millores notables, inclosa la possibilitat de robar fitxers de còpia de seguretat de WhatsApp. Aquests fitxers de còpia de seguretat, dissenyats per ajudar els usuaris a transferir el seu historial de missatges, fitxers multimèdia i dades a nous dispositius, poden contenir informació sensible com ara text, vídeos, fotos, documents i molt més, tot en un format sense xifrar.

Tot i que GravityRAT ha estat actiu almenys des del 2015, només va començar a orientar-se als dispositius Android el 2020. Els operadors darrere d'aquest programari maliciós, conegut com "SpaceCobra", utilitzen exclusivament el programari espia per a les seves operacions molt orientades.

Els cibercriminals disfressen GravityRAT com a aplicacions de xat útils

El programari espia, disfressat com l'aplicació de xat "BingeChat", afirma oferir un xifratge d'extrem a extrem i compta amb una interfície fàcil d'utilitzar juntament amb funcions avançades. L'aplicació maliciosa es distribueix principalment a través del lloc web 'bingechat.net' i possiblement altres dominis o canals. Tanmateix, l'accés a la descàrrega està restringit a les persones convidades que han de proporcionar credencials vàlides o registrar un compte nou.

Actualment, els registres de l'aplicació estan tancats, limitant la seva distribució a objectius específics. Aquest mètode no només permet als autors lliurar el programari maliciós de manera selectiva, sinó que també suposa un repte per als investigadors que busquen obtenir una còpia per a l'anàlisi.

En un patró recurrent, els operadors de GravityRAT van recórrer a la promoció d'APK Android maliciosos mitjançant una aplicació de xat anomenada "SoSafe" el 2021 i abans d'això, una altra aplicació anomenada "Travel Mate Pro". Aquestes aplicacions eren versions troianitzades d'OMEMO IM, una aplicació legítima de missatgeria instantània de codi obert per a Android.

En particular, SpaceCobra va utilitzar anteriorment OMEMO IM com a base per a una altra aplicació fraudulenta anomenada "Chatico". L'estiu del 2022, Chatico es va distribuir als objectius a través del lloc web ara desaparegut "chatico.co.uk".

Capacitats malicioses trobades a l'amenaça mòbil GravityRAT

Després de la instal·lació al dispositiu de l'objectiu, BingeChat sol·licita permisos que comporten riscos inherents. Aquests permisos inclouen l'accés als contactes, la ubicació, el telèfon, els SMS, l'emmagatzematge, els registres de trucades, la càmera i el micròfon. Com que aquests permisos solen ser requerits per les aplicacions de missatgeria instantània, és poc probable que suscitan sospites o semblin anormals per a la víctima.

Abans que un usuari es registri a BingeChat, l'aplicació envia subrepticiament informació crucial al servidor de comandament i control (C2) de l'actor de l'amenaça. Això inclou registres de trucades, llistes de contactes, missatges SMS, ubicació del dispositiu i informació bàsica del dispositiu. A més, el programari maliciós roba diversos fitxers multimèdia i documents de tipus de fitxer específics, com ara jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 i crypt32. En particular, les extensions de fitxer de criptació corresponen a còpies de seguretat de WhatsApp Messenger.

A més, una de les novetats notables de GravityRAT és la seva capacitat per rebre tres ordres diferents del servidor C2. Aquestes ordres inclouen "suprimir tots els fitxers" (d'una extensió especificada), "suprimir tots els contactes" i "suprimir tots els registres de trucades". Aquesta capacitat atorga a l'actor de l'amenaça un control important sobre el dispositiu compromès i li permet executar accions potencialment perjudicials.

Els usuaris haurien de tenir la màxima precaució a l'hora de concedir permisos a les aplicacions i revisar acuradament els permisos sol·licitats per qualsevol aplicació, fins i tot els que aparentment legítims. L'actualització periòdica dels dispositius, l'ús de solucions de seguretat fiables i la vigilància davant el comportament sospitós de les aplicacions poden ajudar a mitigar els riscos associats a campanyes de programari maliciós tan sofisticades.