Alertan del uso del programa aespÃa GravityRAT para acceder a las copias de seguridad de WhatsApp
Un grupo de ciberatacantes ha puesto en el punto de mira de su actividad las copias de seguridad de WhatsApp, a las que acceden con una versión del programa espÃa GravityRAT para Android a través de apps de mensajerÃa como BingeChat y Chatico.
Los investigadores de ESET han identificado una versión actualizada del programa espÃa GravityRAT basado en Android, una herramienta de acceso remoto utilizada anteriormente en ataques dirigidos contra usuarios de la India, que se distribuye como las aplicaciones de mensajerÃa BingeChat y Chatico.
GravityRAT puede filtrar copias de seguridad de WhatsApp y recibir comandos para eliminar archivos. Las aplicaciones maliciosas también ofrecen funciones legÃtimas de chat basadas en la aplicación de código abierto OMEMO Instant Messenger, como explican en una nota de prensa.
En el caso de la campaña de BingeChat, el investigador de ESET Lukas Stefanko señala que la aplicación se distribuye a través de una web que requiere registro, por lo que puede que los delincuentes sólo abran el registro cuando esperan la visita de una vÃctima concreta, posiblemente con una dirección IP, una geolocalización, una URL personalizada o en un plazo de tiempo especÃfico.
El equipo de ESET Research desconoce la manera en que las vÃctimas potenciales son atraÃdas o descubren el sitio web malicioso. Teniendo en cuenta que la descarga de la aplicación está condicionada a tener una cuenta y que no fue posible registrar un nuevo usuario durante la investigación, la firma de seguridad cree que las vÃctimas fueron atacadas de forma especÃfica.
El actor detrás de GravityRAT sigue siendo desconocido, aunque los investigadores de Facebook atribuyen este programa espÃa a un grupo con sede en Pakistán, como se especuló anteriormente por Cisco Talos. ESET rastrea el grupo bajo el nombre de SpaceCobra, y atribuye a este grupo tanto las campañas de BingeChat como las de Chatico.
