Segundo o pesquisador Lukas Stefanko, da ESET, o malware Android GravityRAT agora rouba backups do WhatsApp.
Os backups do WhatsApp são criados para ajudar os usuários a portar seu histórico de mensagens, arquivos de mídia e dados para novos dispositivos, para que possam conter dados confidenciais, como texto, vídeo, fotos, documentos e muito mais, tudo de forma não criptografada.
De acordo com o pesquisador da ESET, Lukas Stefanko, que analisou uma amostra depois de receber uma dica do MalwareHunterTeam, uma das novidades notáveis detectadas na versão mais recente do GravityRAT é o roubo de arquivos de backup do WhatsApp.
Malware Android GravityRAT agora rouba backups do WhatsApp
O GravityRAT está ativo desde pelo menos 2015, mas começou a segmentar o Android pela primeira vez em 2020. Seus operadores, ‘SpaceCobra’, usam o spyware exclusivamente e em operações de segmentação restritas.
Uma nova campanha de malware para Android espalhando a versão mais recente do GravityRAT está em andamento desde agosto de 2022, infectando dispositivos móveis com um aplicativo de bate-papo trojanizado chamado ‘BingeChat’, que tenta roubar dados dos dispositivos das vítimas.
O spyware é distribuído sob o nome ‘BingeChat’, supostamente um aplicativo de bate-papo criptografado de ponta a ponta com uma interface simples, mas com recursos avançados.
A ESET diz que o aplicativo é entregue por meio de “bingechat[.]net” e possivelmente outros domínios ou canais de distribuição, mas o download é baseado em convite, exigindo que os visitantes insiram credenciais válidas ou registrem uma nova conta.
Embora os registros estejam atualmente fechados, esse método permite que eles distribuam apenas os aplicativos maliciosos para as pessoas visadas. Também torna mais difícil para os pesquisadores acessar uma cópia para análise.
Promover APKs Android maliciosos a alvos é uma tática que os operadores do GravityRAT empregaram novamente em 2021, usando um aplicativo de bate-papo chamado ‘SoSafe’ e, antes disso, outro chamado ‘Travel Mate Pro’.
Stefanko descobriu que o aplicativo é uma versão trojanizada do OMEMO IM, um aplicativo legítimo de mensagens instantâneas de código aberto para Android.
Ao pesquisar mais, o analista da ESET descobriu que o SpaceCobra havia usado o OMEMO IM como base para outro aplicativo falso chamado “Chatico”, que foi distribuído para alvos no verão de 2022 por meio do agora offline “chatico.co[.]uk”.
O BingeChat solicita permissões arriscadas após sua instalação no dispositivo do alvo, incluindo acesso a contatos, localização, telefone, SMS, armazenamento, registros de chamadas, câmera e microfone.
Essas são permissões padrão para aplicativos de mensagens instantâneas, portanto, é improvável que levantem suspeitas ou pareçam anormais para a vítima.
Antes de o usuário se registrar no BingeChat, o aplicativo envia registros de chamadas, listas de contatos, mensagens SMS, localização do dispositivo e informações básicas do dispositivo para o servidor de comando e controle (C2) do agente da ameaça.
Além disso, arquivos de mídia e documentos de jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18 e tipos crypt32, também são roubados.
As extensões do arquivo crypt correspondem aos backups do WhatsApp Messenger mencionados anteriormente.
Outro novo recurso notável do GravityRAT é sua capacidade de receber três comandos do C2, ou seja, “excluir todos os arquivos” (de uma extensão especificada), “excluir todos os contatos” e “excluir todos os registros de chamadas”.
Embora as campanhas do SpaceCobra sejam altamente direcionadas e geralmente focadas na Índia, todos os usuários do Android devem evitar baixar APKs de fora do Google Play e ser cautelosos com solicitações de permissão arriscadas ao instalar qualquer aplicativo.