Ciberseguridad 360 | Troyano GravityRAT para Android roba copias de seguridad de WhatsApp y elimina archivos

GravityRAT Android Trojan

Se ha descubierto una versi�n actualizada de un troyano de acceso remoto para Android apodado GravityRAT que se hace pasar por las aplicaciones de mensajer�a BingeChat y Chatico como parte de una campa�a dirigida desde junio de 2022.

"En la campa�a reci�n descubierta, GravityRAT puede filtrar copias de seguridad de WhatsApp y recibir comandos para eliminar archivos", afirma Luk�? ?tefanko, investigador de ESET, en un nuevo informe publicado hoy.

"Las apps maliciosas tambi�n ofrecen funcionalidades leg�timas de chat basadas en la app de mensajer�a instant�nea de c�digo abierto OMEMO".

GravityRAT es el nombre que recibe un malware multiplataforma capaz de atacar dispositivos Windows, Android y macOS. La empresa eslovaca de ciberseguridad est� siguiendo la actividad bajo el nombre de SpaceCobra.

Se sospecha que el actor de la amenaza tiene su base en Pakist�n, con ataques recientes con GravityRAT dirigidos a personal militar en la India y entre las Fuerzas A�reas de Pakist�n camufl�ndolos como aplicaciones de almacenamiento en la nube y de entretenimiento, seg�n revel� Meta el mes pasado.

El uso de aplicaciones de chat como se�uelo para distribuir el malware ya fue destacado en noviembre de 2021 por Cyble, que analiz� una muestra denominada "SoSafe Chat" que se subi� a la base de datos VirusTotal desde la India.

Las aplicaciones de chat, aunque no est�n disponibles en Google Play, se distribuyen a trav�s de sitios web fraudulentos que promocionan servicios de mensajer�a gratuitos: bingechat[.]net y chatico[.]co[.]uk.

"Este grupo utiliz� personajes ficticios -haci�ndose pasar por reclutadores de empresas de defensa y gobiernos, tanto leg�timos como falsos, personal militar, periodistas y mujeres que buscaban establecer una relaci�n rom�ntica- en un intento de generar confianza con las personas a las que se dirig�an", afirma Meta en su Informe trimestral sobre amenazas adversas.

GravityRAT Android Trojan

El modus operandi sugiere que los objetivos potenciales son contactados en Facebook e Instagram con el objetivo de enga�arlos para que hagan clic en los enlaces y descarguen las aplicaciones maliciosas.

GravityRAT, como la mayor�a de las puertas traseras de Android, solicita permisos intrusivos bajo el disfraz de una aplicaci�n aparentemente leg�tima para recopilar informaci�n confidencial como contactos, SMS, registros de llamadas, archivos, datos de localizaci�n y grabaciones de audio sin el conocimiento de la v�ctima.

En �ltima instancia, los datos capturados se filtran a un servidor remoto bajo el control del autor de la amenaza. Vale la pena se�alar que el uso de la aplicaci�n est� condicionado a tener una cuenta.

Lo que hace que la nueva versi�n de GravityRAT destaque es su capacidad para robar archivos de copia de seguridad de WhatsApp y recibir instrucciones del servidor de comando y control (C2) para eliminar registros de llamadas, listas de contactos y archivos con extensiones particulares.

"Se trata de comandos muy espec�ficos que no suelen verse en el malware para Android", se�al� ?tefanko.

El descubrimiento se produce cuando los usuarios de Android en Vietnam han sido v�ctimas de una nueva cepa de malware de robo de cuentas bancarias conocido como HelloTeacher, que utiliza aplicaciones de mensajer�a leg�timas como Viber o Kik como tapadera para desviar datos confidenciales y realizar transferencias de fondos no autorizadas abusando de la API de servicios de accesibilidad.

Cyble tambi�n ha descubierto una estafa de miner�a en la nube que "pide a los usuarios que descarguen una aplicaci�n maliciosa para empezar a minar", s�lo para aprovechar sus permisos a los servicios de accesibilidad para recopilar informaci�n confidencial de monederos de criptomonedas y aplicaciones bancarias.

El troyano financiero, cuyo nombre en clave es Roamer, ejemplifica la tendencia de utilizar sitios web de phishing y canales de Telegram como vectores de distribuci�n, ampliando as� de forma efectiva el grupo de v�ctimas potenciales.

"Los usuarios deben tener cuidado y abstenerse de seguir canales sospechosos de miner�a de criptomonedas en plataformas como Telegram, ya que estos canales pueden conducir a p�rdidas financieras sustanciales y comprometer datos personales sensibles", dijo Cyble.

Fuente: thehackernews