GravityRAT Mobile Malware

Desde agosto de 2022, uma nova campanha de malware para Android foi detectada, espalhando a versão mais recente do GravityRAT e comprometendo os dispositivos móveis. O malware utiliza um aplicativo de bate-papo trojanizado chamado 'BingeChat' como meio de infecção, com o objetivo de roubar dados dos dispositivos das vítimas.

A versão mais recente do GravityRAT vem com melhorias notáveis, incluindo a capacidade de roubar arquivos de backup do WhatsApp. Esses arquivos de backup, projetados para ajudar os usuários a transferir seu histórico de mensagens, arquivos de mídia e dados para novos dispositivos, podem conter informações confidenciais, como texto, vídeos, fotos, documentos e muito mais, tudo em um formato não criptografado.

Embora o GravityRAT esteja ativo desde pelo menos 2015, ele só começou a segmentar dispositivos Android em 2020. Os operadores por trás desse malware, conhecidos como 'SpaceCobra', empregam exclusivamente o spyware para suas operações altamente direcionadas.

Cibercriminosos Disfarçam GravityRAT Como Aplicativos de Bate-papo Úteis

O spyware, disfarçado como o aplicativo de bate-papo 'BingeChat', afirma oferecer criptografia de ponta a ponta e possui uma interface amigável com recursos avançados. O aplicativo malicioso é distribuído principalmente pelo site 'bingechat.net' e possivelmente por outros domínios ou canais. No entanto, o acesso ao download é restrito a pessoas convidadas que devem fornecer credenciais válidas ou registrar uma nova conta.

Atualmente, as inscrições para o aplicativo estão encerradas, limitando sua distribuição a públicos específicos. Esse método não apenas permite que os criminosos distribuam o malware seletivamente, mas também representa um desafio para os pesquisadores que buscam obter uma cópia para análise.

Em um padrão recorrente, os operadores do GravityRAT recorreram à promoção de APKs Android maliciosos usando um aplicativo de bate-papo chamado 'SoSafe' em 2021 e, antes disso, outro aplicativo chamado 'Travel Mate Pro'. Esses aplicativos eram versões trojanizadas do OMEMO IM, um aplicativo legítimo de mensagens instantâneas de código aberto para Android.

Notavelmente, a SpaceCobra utilizou anteriormente o OMEMO IM como base para outro aplicativo fraudulento chamado 'Chatico'. No verão de 2022, o Chatico foi distribuído aos alvos por meio do agora extinto site 'chatico.co.uk'.

Recursos Maliciosos Encontrados na Ameaça Móvel GravityRAT

Após a instalação no dispositivo do alvo, o BingeChat solicita permissões que carregam riscos inerentes. Essas permissões incluem acesso a contatos, localização, telefone, SMS, armazenamento, registros de chamadas, câmera e microfone. Como essas permissões geralmente são exigidas por aplicativos de mensagens instantâneas, é improvável que levantem suspeitas ou pareçam anormais para a vítima.

Antes de um usuário se registrar no BingeChat, o aplicativo envia sub-repticiamente informações cruciais para o servidor Command-and-Control (C2) do agente da ameaça. Isso inclui registros de chamadas, listas de contatos, mensagens SMS, localização do dispositivo e informações básicas do dispositivo. Além disso, o malware rouba vários arquivos de mídia e documentos de tipos de arquivos específicos, como jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , cripta14, cripta12, cripta13, cripta18 e cripta32. Notavelmente, as extensões de arquivo de criptografia correspondem a backups do WhatsApp Messenger.

Além disso, um dos novos recursos notáveis do GravityRAT é sua capacidade de receber três comandos distintos do servidor C2. Esses comandos incluem 'excluir todos os arquivos' (de uma extensão especificada), 'excluir todos os contatos' e 'excluir todos os registros de chamadas'. Esse recurso concede ao agente da ameaça um controle significativo sobre o dispositivo comprometido e permite que ele execute ações potencialmente prejudiciais.

Os usuários devem ter o máximo cuidado ao conceder permissões a aplicativos e revisar cuidadosamente as permissões solicitadas por qualquer aplicativo, mesmo os aparentemente legítimos. A atualização regular de dispositivos, o emprego de soluções de segurança confiáveis e a vigilância contra comportamentos suspeitos de aplicativos podem ajudar a mitigar os riscos associados a essas campanhas sofisticadas de malware.