Notícias de dispositivos móveis, gadgets, aplicativos Android

Spyware Android GravityRAT rouba arquivos de backup do WhatsApp

Desde agosto de 2022, um v√≠rus Android recentemente descoberto chamado ‚ÄúGravidadeRAT‚ÄĚ circulou rapidamente por um novo Campanha de malware Android.

Ele obt√©m acesso a telefones disfar√ßando-se de um aplicativo de bate-papo fraudulento chamado ‘BingeChat‘para roubar usu√°rios’ dados sens√≠veis.

Pesquisador ESET Lucas Stefanko descobriu que a vers√£o mais recente do GravidadeRAT agora rouba Arquivos de backup do WhatsApp.

A criação de Backups do WhatsApp tem como objetivo facilitar a migração do histórico de mensagens, arquivos de mídia e dados dos usuários para dispositivos novos ou diferentes.

Embora seja crucial estar ciente de que esses backups podem incluir dados confidenciais n√£o criptografados como:-

Análise técnica

Desde 2015, GravidadeRAT está ativo e em operação, mas mudou seu foco para dispositivos Android em 2020 pela primeira vez.

O spyware √© utilizado exclusivamente por ‘Espa√ßoCobra,’ seus operadores, para opera√ß√Ķes selecionadas com alvos espec√≠ficos.

O spyware se disfar√ßa como um aplicativo de bate-papo chamado ‘BingeChat’, que afirma oferecer: –

  • Criptografia ponta a ponta
  • Uma interface amig√°vel
  • Funcionalidades avan√ßadas

A entrega do aplicativo ocorre atrav√©s do site ‚Äúbingechat[.]net‚ÄĚ ou outras plataformas dispon√≠veis.

No entanto, baix√°-lo requer um convite, solicitando visitantes para registrar uma nova conta ou fornecer dados confidenciais, como credenciais.

Atualmente, os registros estão encerrados e esse método é empregado exclusivamente com o objetivo de atingir pessoas específicas com a distribuição de aplicativos maliciosos.

Em 2021, os operadores do GravityRAT mais uma vez empregaram a t√°tica de promover APKs Android maliciosos aos seus alvos.

Desta vez, eles utilizaram um aplicativo de bate-papo chamado ‘SoSafe,’ enquanto um aplicativo anterior chamado ‘Companheiro de viagem Pro‘ foi usado antes disso.

N√≥s recomendamos:  O WhatsApp est√° finalmente lan√ßando backups criptografados de bate-papo

Stefanko descobriu que o aplicativo √© um vers√£o modificada do OMEMO IMque √© um aut√™ntico c√≥digo aberto aplicativo de mensagens instant√Ęneas para Android, mas agora est√° infundido com um trojan.

Foi revelado por um analista da ESET que o SpaceCobra empregou um aplicativo fraudulento chamado ‚ÄúChatico.‚ÄĚ

Este aplicativo foi distribu√≠do para indiv√≠duos-alvo atrav√©s do site ‚Äúchatico.co[.]Reino Unido‚ÄĚ durante o ver√£o de 2022.

Permiss√Ķes solicitadas

Ap√≥s a instala√ß√£o no dispositivo do alvo, o BingeChat solicita permiss√Ķes que representam riscos potenciais. As permiss√Ķes incluem acesso ao seguinte: –

  • Contatos
  • Localiza√ß√£o
  • Telefone
  • SMS
  • Armazenar
  • Registro de chamadas
  • C√Ęmera
  • Microfone

Como os aplicativos de mensagens instant√Ęneas geralmente exigem essas permiss√Ķes, √© improv√°vel que desencadear suspeita ou parecer estranho para o indiv√≠duo visado.

Quando um usuário tenta se registrar no BingeChato aplicativo transfere os seguintes detalhes automaticamente para um servidor C2 operado pelo agente da ameaça:-

  • Registro de chamadas
  • Listas de contatos
  • Mensagens SMS
  • Localiza√ß√£o do dispositivo
  • Informa√ß√Ķes b√°sicas do dispositivo

Como medida de segurança, é aconselhável que os usuários evitem baixar APKs de outras fontes desconhecidas ou não confiáveis.

Al√©m disso, √© importante precau√ß√£o no exerc√≠cio e ser vigilante em rela√ß√£o √†s permiss√Ķes do aplicativo Durante a instala√ß√£o.