Malware móvil GravityRAT

Desde agosto de 2022, se ha detectado una nueva campaña de malware para Android que difunde la última versión de GravityRAT y compromete los dispositivos móviles. El malware utiliza una aplicación de chat troyana llamada 'BingeChat' como medio de infección, con el objetivo de robar datos de los dispositivos de las víctimas.

La última versión de GravityRAT viene con mejoras notables, incluida la capacidad de robar archivos de respaldo de WhatsApp. Estos archivos de respaldo, diseñados para ayudar a los usuarios a transferir su historial de mensajes, archivos multimedia y datos a nuevos dispositivos, pueden contener información confidencial como texto, videos, fotos, documentos y más, todo en un formato no cifrado.

Si bien GravityRAT ha estado activo desde al menos 2015, solo comenzó a apuntar a dispositivos Android en 2020. Los operadores detrás de este malware, conocido como 'SpaceCobra', emplean exclusivamente el spyware para sus operaciones altamente específicas.

Los ciberdelincuentes disfrazan GravityRAT como aplicaciones de chat útiles

El software espía, disfrazado como la aplicación de chat 'BingeChat', afirma ofrecer cifrado de extremo a extremo y cuenta con una interfaz fácil de usar junto con funciones avanzadas. La aplicación maliciosa se distribuye principalmente a través del sitio web 'bingechat.net' y posiblemente otros dominios o canales. Sin embargo, el acceso a la descarga está restringido a las personas invitadas que deben proporcionar credenciales válidas o registrar una nueva cuenta.

Actualmente, los registros para la aplicación están cerrados, lo que limita su distribución a objetivos específicos. Este método no solo permite a los perpetradores entregar el malware de forma selectiva, sino que también plantea un desafío para los investigadores que buscan obtener una copia para su análisis.

En un patrón recurrente, los operadores de GravityRAT recurrieron a la promoción de APK maliciosos de Android utilizando una aplicación de chat llamada 'SoSafe' en 2021 y antes de eso, otra aplicación llamada 'Travel Mate Pro'. Estas aplicaciones eran versiones troyanizadas de OMEMO IM, una aplicación legítima de mensajería instantánea de código abierto para Android.

En particular, SpaceCobra utilizó anteriormente OMEMO IM como base para otra aplicación fraudulenta llamada 'Chatico'. En el verano de 2022, Chatico se distribuyó a los objetivos a través del sitio web ahora desaparecido 'chatico.co.uk'.

Capacidades maliciosas encontradas en la amenaza móvil GravityRAT

Tras la instalación en el dispositivo del objetivo, BingeChat solicita permisos que conllevan riesgos inherentes. Estos permisos incluyen acceso a contactos, ubicación, teléfono, SMS, almacenamiento, registros de llamadas, cámara y micrófono. Dado que estos permisos suelen ser necesarios para las aplicaciones de mensajería instantánea, es poco probable que generen sospechas o parezcan anormales para la víctima.

Antes de que un usuario se registre en BingeChat, la aplicación envía subrepticiamente información crucial al servidor de comando y control (C2) del actor de amenazas. Esto incluye registros de llamadas, listas de contactos, mensajes SMS, ubicación del dispositivo e información básica del dispositivo. Además, el malware roba varios archivos multimedia y de documentos de tipos de archivos específicos, como jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18 y crypt32. En particular, las extensiones de archivo de cifrado corresponden a las copias de seguridad de WhatsApp Messenger.

Además, una de las características nuevas notables de GravityRAT es su capacidad para recibir tres comandos distintos del servidor C2. Estos comandos incluyen 'eliminar todos los archivos' (de una extensión específica), 'eliminar todos los contactos' y 'eliminar todos los registros de llamadas'. Esta capacidad le otorga al actor de amenazas un control significativo sobre el dispositivo comprometido y le permite ejecutar acciones potencialmente dañinas.

Los usuarios deben tener la máxima precaución al otorgar permisos a las aplicaciones y revisar cuidadosamente los permisos solicitados por cualquier aplicación, incluso las aparentemente legítimas. La actualización regular de los dispositivos, el empleo de soluciones de seguridad confiables y la vigilancia contra el comportamiento sospechoso de las aplicaciones pueden ayudar a mitigar los riesgos asociados con campañas de malware tan sofisticadas.