A ESET, uma das principais empresas europeias de soluções de cibersegurança, descobriu uma versão actualizada do perigoso spyware GravityRAT.
Esta nova versão, que tem como alvo dispositivos Android, está a ser disseminada por meio de aplicações de mensagens como o BingeChat e o Chatico.
O GravityRAT é uma ferramenta de acesso remoto que tem sido utilizada em ataques direccionados na Índia desde 2015. O autor por trás do GravityRAT ainda é desconhecido, sendo referido internamente pela ESET como SpaceCobra.
Campanhas de Disseminação do Spyware
A campanha que utiliza o BingeChat, activa desde Agosto de 2022, continua em andamento. Por outro lado, a campanha que utilizava o Chatico já não está activa. O BingeChat é distribuído através de um website que promove serviços de mensagens gratuitos.
Spyware GravityRAT: Funcionalidades expandidas e ameaças
A nova versão do spyware GravityRAT tem a capacidade de roubar backups do WhatsApp e receber comandos para eliminar ficheiros. Além disso, as aplicações maliciosas também oferecem funcionalidades de conversação legítimas, baseadas na aplicação de código aberto OMEMO Instant Messenger.
O grupo SpaceCobra revitalizou o spyware GravityRAT para incluir estas funcionalidades expandidas. Tal como anteriormente, a campanha utiliza aplicações de mensagens como disfarce para distribuir a backdoor do GravityRAT. Segundo dados da ESET, um utilizador na Índia foi alvo da versão actualizada do Chatico.
Estado Actual das Campanhas
No momento, tanto o website como o servidor de comando e controlo associados ao Chatico estão offline. Contudo, a campanha que utiliza o BingeChat continua activa, distribuindo o malware através de um website que requer registo. A ESET acredita que a campanha é altamente direccionada, possivelmente aberta apenas quando os atacantes esperam que vítimas específicas o visitem, possivelmente com um determinado endereço IP, geolocalização, URL personalizado ou dentro de um período de tempo específico.
Para mais detalhes técnicos sobre a campanha, leia este artigo no WeLiveSecurity (em inglês).
Outros artigos interessantes: