Malware mobile GravityRAT

Dall'agosto 2022 è stata rilevata una nuova campagna malware Android, che diffonde l'ultima versione di GravityRAT e compromette i dispositivi mobili. Il malware utilizza un'applicazione di chat trojan chiamata "BingeChat" come mezzo di infezione, con l'obiettivo di rubare dati dai dispositivi delle vittime.

L'ultima versione di GravityRAT è dotata di notevoli miglioramenti, inclusa la possibilità di rubare i file di backup di WhatsApp. Questi file di backup, progettati per aiutare gli utenti a trasferire la cronologia dei messaggi, i file multimediali e i dati su nuovi dispositivi, possono contenere informazioni sensibili come testo, video, foto, documenti e altro, il tutto in un formato non crittografato.

Sebbene GravityRAT sia attivo almeno dal 2015, ha iniziato a prendere di mira i dispositivi Android solo nel 2020. Gli operatori dietro questo malware, noto come "SpaceCobra", utilizzano esclusivamente lo spyware per le loro operazioni altamente mirate.

I criminali informatici mascherano GravityRAT come utili app di chat

Lo spyware, mascherato dall'app di chat "BingeChat", afferma di offrire la crittografia end-to-end e vanta un'interfaccia user-friendly insieme a funzionalità avanzate. L'app dannosa viene distribuita principalmente attraverso il sito Web "bingechat.net" e possibilmente altri domini o canali. Tuttavia, l'accesso al download è limitato alle persone invitate che devono fornire credenziali valide o registrare un nuovo account.

Attualmente le registrazioni all'app sono chiuse, limitandone la distribuzione a target specifici. Questo metodo non solo consente agli autori di distribuire il malware in modo selettivo, ma rappresenta anche una sfida per i ricercatori che cercano di ottenerne una copia per l'analisi.

In uno schema ricorrente, gli operatori di GravityRAT hanno fatto ricorso alla promozione di APK Android dannosi utilizzando un'app di chat chiamata "SoSafe" nel 2021 e, prima ancora, un'altra app chiamata "Travel Mate Pro". Queste app erano versioni trojanizzate di OMEMO IM, una legittima app di messaggistica istantanea open source per Android.

In particolare, SpaceCobra ha precedentemente utilizzato OMEMO IM come base per un'altra app fraudolenta chiamata "Chatico". Nell'estate del 2022, Chatico è stato distribuito agli obiettivi attraverso il sito Web ormai defunto "chatico.co.uk".

Funzionalità dannose trovate nella minaccia mobile GravityRAT

Al momento dell'installazione sul dispositivo di destinazione, BingeChat richiede autorizzazioni che comportano rischi intrinseci. Queste autorizzazioni includono l'accesso a contatti, posizione, telefono, SMS, memoria, registri delle chiamate, fotocamera e microfono. Poiché queste autorizzazioni sono generalmente richieste dalle app di messaggistica istantanea, è improbabile che sollevino sospetti o appaiano anormali alla vittima.

Prima che un utente si registri in BingeChat, l'app invia di nascosto informazioni cruciali al server Command-and-Control (C2) dell'autore della minaccia. Ciò include registri delle chiamate, elenchi di contatti, messaggi SMS, posizione del dispositivo e informazioni di base sul dispositivo. Inoltre, il malware ruba vari file multimediali e documenti di tipi di file specifici, come jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 e crypt32. In particolare, le estensioni dei file crypt corrispondono ai backup di WhatsApp Messenger.

Inoltre, una delle novità degne di nota di GravityRAT è la sua capacità di ricevere tre comandi distinti dal server C2. Questi comandi includono "elimina tutti i file" (di un'estensione specificata), "elimina tutti i contatti" e "elimina tutti i registri delle chiamate". Questa capacità garantisce all'autore della minaccia un controllo significativo sul dispositivo compromesso e consente loro di eseguire azioni potenzialmente dannose.

Gli utenti dovrebbero prestare la massima attenzione quando concedono autorizzazioni alle app e rivedere attentamente le autorizzazioni richieste da qualsiasi applicazione, anche quelle apparentemente legittime. L'aggiornamento regolare dei dispositivi, l'utilizzo di soluzioni di sicurezza affidabili e la vigilanza contro comportamenti sospetti delle app possono aiutare a mitigare i rischi associati a campagne di malware così sofisticate.