El equipo de investigación de ESET, una compañía dedicada a la detección proactiva de amenazas, encontró una nueva versión de GravityRAT, un malware específicamente diseñado para dispositivos Android que podría divulgar fotos y videos del usuario, incluyendo contenido sexual.

Este malware se propaga a través de aplicaciones de mensajería como BingeChat y Chatico; sin embargo, existen variantes disponibles para Windows, Android y macOS.

Activo desde al menos 2015, el grupo SpaceCobra ahora amplió sus funcionalidades para robar las copias de seguridad de WhatsApp Messenger y recibir comandos para eliminar archivos. Esta campaña utiliza aplicaciones de mensajería como señuelo.

“No teníamos credenciales y los registros estaban cerrados. Lo más probable es que los operadores detrás de esta campaña solo abran el registro cuando esperan que una víctima específica visite el sitio, posiblemente a través de una dirección IP particular, geolocalización, una URL personalizada o dentro de un período de tiempo específico”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Cómo funciona:

Después de iniciarse, la aplicación solicita al usuario que habilite todos los permisos necesarios para funcionar correctamente. Excepto por el consentimiento para leer los registros de llamadas, las otras autorizaciones solicitadas son típicas de cualquier aplicación de mensajería.

La aplicación ofrece opciones para crear una cuenta e iniciar sesión. Antes de que el usuario abra su perfil en la aplicación, GravityRAT comienza a interactuar con su servidor C&C, filtrando los datos del usuario del dispositivo y esperando que se ejecuten los comandos.

Software malicioso estaría espiando su WhatsApp: roba videos y fotos privadas. (Freepik)

Es capaz de exfiltrar:

- Registros de llamadas

- Lista de contactos

- Mensajes SMS

- Archivos con extensiones específicas: jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32

- Ubicación del dispositivo

- Información básica del dispositivo

Los datos que se roban se almacenan en archivos de texto en medios externos, luego se extraen al servidor y finalmente se eliminan. Estos son comandos muy específicos que normalmente no se ven en el malware para Android y que podrían poner en juegos elementos privados que se tienen en el dispositivo.

Las versiones anteriores de GravityRAT para Android no podían recibir comandos; solo podían cargar datos extraídos a uno de sus servidores en un momento determinado.

“No sabemos cómo fue que las potenciales víctimas fueron atraídas o descubrieron el sitio web malicioso. Teniendo en cuenta que la posibilidad de descargar la aplicación está condicionada a tener una cuenta y que no fue posible registrar una nueva cuenta al momento del análisis, creemos que las víctimas de esta campaña fueron especialmente seleccionadas.”, menciona el investigador.

El grupo detrás de este malware utiliza el código de la aplicación de mensajería instantánea legítima llamada OMEMO para proporcionar la funcionalidad de chat en las aplicaciones de mensajería maliciosas BingeChat y Chatico.

Probablemente esté activa desde agosto de 2022, según los investigadores la campaña de BingeChat aún está en curso, mientras que la que utiliza Chatico ya no está activa. Según el nombre del archivo APK, la app maliciosa tiene la marca BingeChat y afirma proporcionar la funcionalidad de mensajería.

Encontraron que el sitio web ha estado distribuyendo una muestra y qué debería descargar la aplicación maliciosa después de hacer el proceso, pero solicita que los visitantes inicien sesión, por lo que consideran que las víctimas potenciales son altamente específicas.

Según el equipo de investigación, la aplicación maliciosa nunca estuvo disponible en la tienda Google Play. Es una versión maliciosa de la aplicación de Android legítima OMEMO Instant Messenger (IM) pero tiene la marca BingeChat. OMEMO IM es una reconstrucción del cliente para Android Conversations.

Qué es la exfiltración de datos:

Es cuando información confidencial se saca o se roba de manera no autorizada de un sistema o dispositivo. Esto puede ocurrir de diferentes formas, como el robo de archivos o el uso de software malicioso. Es un problema serio porque pone en riesgo la privacidad y la seguridad de la información. Los ciberdelincuentes suelen hacer esto para cometer fraudes o chantajes.