Una versión actualizada de GravityRAT, ha sido estudiada por la empresa ESET descubriendo la posibilidad de filtración de las copias de seguridad de WhatsApp.
Entrando más en detalle sobre GravityRat y su nueva distribución. Esta podría extraer o transferir datos de manera no autorizada desde un sistema o red comprometidos hacia una ubicación controlada por un atacante.
El malware ha sido identificado como parte de las aplicaciones de mensajería BingeChat y Chatico. Aplicaciones falsas que han sido utilizadas como señuelo y se sospecharía que el grupo detrás de su desarrollo podría ser SpaceCobra. El cual es conocido y ha estado activo en el mundo de la ciberdelincuencia desde al menos el 2015.
¿Cómo se infiltra este Troyano?
GravityRAT es un troyano de acceso remoto que se ha identificado en diversas plataformas, incluyendo Windows, Android y macOS. Recientemente, se ha descubierto una versión actualizada dirigida específicamente a dispositivos Android, que se distribuye a través de aplicaciones de mensajería falsas como BingeChat y Chatico.
Este malware utiliza el código de una aplicación de mensajería legítima llamada OMEMO para proporcionar funcionalidad de chat en las aplicaciones de mensajería maliciosas.
Una vez que el usuario instala la aplicación troyanizada, la aplicación solicita una serie de permisos, incluido el permiso para leer registros de llamadas, lo que plantea preocupaciones sobre la privacidad. Luego de la instalación y aprobación de permisos, GravityRAT establece comunicación con un servidor de comando y control (C&C) para recibir instrucciones y enviar datos filtrados.
Este troyano es capaz de filtrar una variedad de información confidencial como:
- Registros de llamadas.
- Lista de contactos.
- Mensajes SMS.
- Archivos específicos (jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32)
- Ubicación del dispositivo.
- Datos básicos del mismo.
Los datos filtrados son almacenados en archivos de texto en medios externos para luego ser enviados al servidor C&C. A diferencia de versiones anteriores, esta nueva variante también puede filtrar copias de seguridad de WhatsApp y recibir comandos para eliminar archivos, lo que aumenta el riesgo para los usuarios afectados.
Víctimas de GravityRat
Si bien la información indicada por ESET indica que no existirían víctimas de la campaña de BingeChat, es posible que esto sea consecuencia de que GravityRAT busca víctimas específicas y de forma altamente selectiva.
Se sospecha que utilizan métodos de selección basados en criterios como direcciones IP particulares, geolocalización, URL personalizadas o períodos de tiempo específicos.
Finalmente, siempre es necesario mantenerse alerta frente a nuevas aplicaciones por lo cual entregamos algunas recomendaciones:
- Descarga aplicaciones solo de tiendas oficiales y confiables.
- Lee los comentarios y reseñas antes de instalar una aplicación.
- Verifica los permisos de las aplicaciones antes de instalarlas.
- Mantén tu dispositivo actualizado.
- Utiliza una solución de seguridad confiable en tu dispositivo(s).
- Ten precaución al hacer clic en enlaces y archivos adjuntos sospechosos.
- Aprende cada día sobre técnicas de ingeniería social y sé consciente de ellas.
- Realiza copias de seguridad regulares de tus datos importantes.
