Da agosto 2022, una vasta campagna di diffusione di malware Android sta colpendo gli utenti, grazie all'azione del trojan GravityRAT e alla sua ultima variante. Questa minaccia infetta i dispositivi mobili tramite un'app di chat infetta denominata "BingeChat", che ha lo scopo di rubare dati sensibili dai dispositivi delle vittime.
GravityRAT è un trojan ad accesso remoto (RAT) che può spiare le vostre attività, scattare screenshot, registrare audio, accedere ai vostri file e altro ancora. L'esperto di sicurezza di ESET, Lukas Stefanko, ha analizzato un campione di questa nuova versione di GravityRAT, dopo aver ricevuto un suggerimento da parte di MalwareHunterTeam. Durante l'analisi è emerso che questa variante presenta una nuova funzionalità preoccupante: il furto dei file di backup di WhatsApp.
I backup di WhatsApp sono creati per agevolare il trasferimento della cronologia dei messaggi, dei file multimediali e dei dati su nuovi dispositivi. Pertanto, possono contenere informazioni sensibili come testi, video, foto, documenti e altro ancora, tutti in formato non crittografato.
GravityRAT, attivo sin dal 2015, ha iniziato a prendere di mira gli utenti Android nel 2020. Gli operatori di questa minaccia, noti come "SpaceCobra", utilizzano esclusivamente lo spyware per operazioni di targeting mirato.
La campagna di infezione attuale su Android si basa sull'app "BingeChat", che viene presentata come un'app di chat con crittografia end-to-end, dotata di un'interfaccia semplice ma con funzionalità avanzate. Secondo quanto riportato da ESET, l'app viene distribuita tramite il sito "bingechat[.]net" e potenzialmente anche attraverso altri domini o canali di distribuzione. Tuttavia, il download dell'app richiede un invito, e i visitatori devono inserire credenziali valide o registrare un nuovo account.
Sebbene le registrazioni siano attualmente chiuse, questa metodologia consente ai criminali di distribuire l'app malevola solo alle persone specificamente mirate. Allo stesso tempo, rende più difficile per i ricercatori accedere a una copia dell'app per l'analisi.
Non è la prima volta che gli operatori di GravityRAT utilizzano app di chat malevole per promuovere i loro APK Android dannosi. Nel 2021, hanno utilizzato un'app di chat chiamata "SoSafe", mentre in precedenza hanno utilizzato un'altra denominata "Travel Mate Pro".
Stefanko ha scoperto che l'app "BingeChat" è in realtà una versione infetta di OMEMO IM, un'app legittima open-source per la messaggistica istantanea su Android. Approfondendo la ricerca, l'analista di ESET ha scoperto che SpaceCobra ha utilizzato OMEMO IM come base per un'altra app falsa chiamata "Chatico". Questa app è stata distribuita alle vittime nell'estate del 2022 tramite il sito "chatico.co[.]uk", che al momento risulta offline.
Una volta installata, l'app "BingeChat" richiede autorizzazioni pericolose sul dispositivo della vittima, tra cui accesso ai contatti, posizione, telefono, SMS, memoria, registri delle chiamate, fotocamera e microfono. Queste autorizzazioni sono comuni nelle app di messaggistica istantanea, quindi difficilmente sollevano sospetti o sembrano anormali agli occhi delle vittime.
Prima che l'utente si registri su "BingeChat", l'app invia al server di comando e controllo (C2) dei criminali i registri delle chiamate, la lista dei contatti, i messaggi SMS, la posizione del dispositivo e le informazioni di base su di esso.
Inoltre, vengono sottratti anche i file multimediali e i documenti con estensioni come jpg, jpeg, log, png, txt, pdf, xml, doc, xls, ppt, docx e molti altri. Di particolare preoccupazione sono le estensioni di file "crypt", che corrispondono ai backup di WhatsApp Messenger menzionati in precedenza.
Una caratteristica rilevante di questa nuova versione di GravityRAT è la sua capacità di ricevere tre nuovi comandi dal server di comando e controllo (C2): "elimina tutti i file" di una determinata estensione, "elimina tutti i contatti" e "elimina tutti i registri delle chiamate".
Anche se le campagne di SpaceCobra sono mirate principalmente all'India, tutti gli utenti Android dovrebbero proteggersi. Ci sono alcune misure che potete adottare per evitare che GravityRAT infetti il vostro dispositivo e acceda ai vostri backup di WhatsApp. Ecco alcuni suggerimenti:
- Evitare di scaricare applicazioni da fonti sconosciute o da app store di terze parti: GravityRAT si maschera come un'app legittima, come un lettore multimediale o un gioco, ma in realtà è un'app dannosa che può installare il malware sul vostro dispositivo. Scaricate le app solo da fonti affidabili come il Google Play Store o i siti web ufficiali degli sviluppatori.
- Aggiornate regolarmente il dispositivo e le app: GravityRAT sfrutta alcune vulnerabilità del sistema Android e di alcune app per accedere al dispositivo e ai dati. Aggiornando il dispositivo e le app, è possibile risolvere queste vulnerabilità e ridurre il rischio di infezione.
- Criptate il backup nel cloud per WhatsApp con una password: GravityRAT e chi altro ha accesso ai backup possono leggerli solo se non sono crittografati.
- Eseguite regolarmente una scansione del dispositivo con un'applicazione antivirus affidabile: GravityRAT può eludere il rilevamento da parte di alcune applicazioni antivirus perché utilizza tecniche di offuscamento e crittografia per nascondere il suo codice maligno. Tuttavia, alcune applicazioni antivirus possono comunque rilevare e rimuovere GravityRAT dal vostro smartphone.