Se ha descubierto una versión renovada del troyano de acceso remoto GravityRAT oculto en aplicaciones de mensajería para Android, incluyendo BingeChat y Chatico, según ESET. Este malware ya ha causado estragos en las plataformas de Windows y macOS, y ahora apunta a los usuarios de Android. El grupo que está detrás de esta amenaza, conocido como SpaceCobra, opera desde al menos 2015.
Las funcionalidades de este troyano se han ampliado recientemente para poder exfiltrar copias de seguridad de WhatsApp y recibir comandos para eliminar archivos. Se utiliza un cebo en forma de aplicaciones de mensajería para distribuir el backdoor GravityRAT.
Las aplicaciones maliciosas, BingeChat y Chatico, utilizan el código de la legítima aplicación de mensajería instantánea OMEMO para proporcionar funcionalidad de chat. ESET ha señalado que la campaña de BingeChat parece estar en curso desde agosto de 2022, aunque la campaña que utiliza Chatico ya no está activa.
Según el nombre del archivo APK, la app maliciosa tiene la marca BingeChat y afirma proporcionar la funcionalidad de mensajería. Desde el equipo de ESET encontraron que el sitio web bingechat[.]net a estado distribuyendo una muestra. El sitio web debería descargar la aplicación maliciosa después de tocar el botón DESCARGAR APLICACIÓN; sin embargo, solicita que los visitantes inicien sesión. “No teníamos credenciales y los registros estaban cerrados. Lo más probable es que los operadores detrás de esta campaña solo abran el registro cuando esperan que una víctima específica visite el sitio, posiblemente a través de una dirección IP particular, geolocalización, una URL personalizada o dentro de un período de tiempo específico. Por lo tanto, creemos que las víctimas potenciales son altamente específicas.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Según el equipo de investigación la aplicación maliciosa nunca estuvo disponible en la tienda Google Play. Es una versión troyanizada de la aplicación de Android legítima OMEMO Instant Messenger (IM) pero tiene la marca BingeChat. OMEMO IM es una reconstrucción del cliente para Android Conversations.
Después de iniciarse, la aplicación solicita al usuario que habilite todos los permisos necesarios para funcionar correctamente. Excepto por el permiso para leer los registros de llamadas los otros permisos solicitados son típicos de cualquier aplicación de mensajería, por lo que es posible que el usuario del dispositivo no se alarme cuando la aplicación los solicite.
Como parte de la funcionalidad legítima, la aplicación ofrece opciones para crear una cuenta e iniciar sesión. Antes de que el usuario inicie sesión en la aplicación, GravityRAT comienza a interactuar con su servidor C&C, filtrando los datos del usuario del dispositivo y esperando que se ejecuten los comandos. GravityRAT es capaz de exfiltrar:
Los datos que se exfiltrarán se almacenan en archivos de texto en medios externos, luego se extraen al servidor de C&C y finalmente se eliminan. Según ESET estos son comandos muy específicos que normalmente no se ven en el malware para Android. Las versiones anteriores de GravityRAT para Android no podían recibir comandos; solo podían cargar datos extraídos a un servidor C&C en un momento determinado.
“No sabemos cómo fue que las potenciales víctimas fueron atraídas o descubrieron el sitio web malicioso. Teniendo en cuenta que la posibilidad de descargar la aplicación está condicionada a tener una cuenta y que no fue posible registrar una nueva cuenta al momento del análisis, creemos que las víctimas de esta campaña fueron especialmente seleccionadas.”, menciona el investigador.
Los datos de telemetría de ESET no han registrado ninguna víctima de esta campaña de BingeChat, lo que sugiere además que la campaña probablemente tenga un objetivo limitado. Sin embargo, se tiene una detección de otra muestra para Android de GravityRAT en India que data de junio de 2022. En este caso, GravityRAT se denominó Chatico.
Al igual que BingeChat, Chatico se basa en la aplicación OMEMO Instant Messenger y está troyanizada con GravityRAT. Según ESET, lo más probable es que Chatico se distribuyera a través del sitio web chatico.co[.]uk y también se comunicara con un servidor de C&C. Los dominios tanto del sitio web como del servidor de C&C ahora están fuera de línea.
Escucha Dale Play en Spotify. Sigue el programa todos los lunes en nuestras plataformas de audio disponibles.
Contenido GEC