GravityRAT Mobile Threat se oculta en las aplicaciones de chat

Los investigadores han descubierto una versión actualizada recientemente del software espía Android GravityRAT que circula a través de aplicaciones de mensajería llamadas BingeChat y Chatico. GravityRAT es una herramienta de acceso remoto que ha estado en uso desde al menos 2015 y anteriormente se ha empleado en ataques dirigidos contra la India. La disponibilidad de las versiones de Windows, Android y macOS de este software espía ha sido documentada por varias fuentes, como Cisco Talos, Kaspersky y Cyble. El grupo responsable de GravityRAT, conocido internamente como SpaceCobra, permanece sin identificar.

La campaña BingeChat, que probablemente comenzó en agosto de 2022, todavía está activa, mientras que la campaña Chatico ya no está operativa. BingeChat se distribuye a través de un sitio web que anuncia servicios de mensajería gratuitos. En particular, la última campaña que involucra a GravityRAT permite que el software espía extraiga copias de seguridad de WhatsApp y reciba comandos para eliminar archivos. Además, las aplicaciones maliciosas ofrecen una funcionalidad de chat legítima basada en la aplicación OMEMO Instant Messenger de código abierto.

El MalwareHunterTeam alertó a los investigadores sobre esta campaña al compartir el hash de una muestra de GravityRAT a través de un tweet. La aplicación maliciosa, con la marca BingeChat y que afirma brindar servicios de mensajería, se identificó según el nombre del archivo APK. Se descubrió el sitio web bingechat[.]net, donde se podría haber descargado esta muestra. Sin embargo, el acceso a la aplicación requería iniciar sesión y el registro se cerró. Es probable que los registros se abran solo cuando los operadores anticipan la visita de una víctima específica, posiblemente en función de su dirección IP, geolocalización, URL personalizada o dentro de un período de tiempo específico. Por lo tanto, los investigadores creen que las víctimas potenciales son muy específicas.

Medios de Distribución

Aunque los investigadores no pudieron descargar directamente la aplicación BingeChat del sitio web, encontraron una URL en VirusTotal que contenía la aplicación maliciosa BingeChat para Android y apuntaba a un archivo BingeChat.zip. Esta aplicación tenía el mismo hash que la mencionada en el tweet mencionado anteriormente, lo que indica que esta URL sirve como punto de distribución para esta muestra específica de GravityRAT.

Además, el código de la aplicación BingeChat hace referencia al mismo nombre de dominio, bingechat[.]net, lo que sugiere su uso con fines de distribución. Vale la pena señalar que la aplicación maliciosa nunca ha estado disponible en la tienda Google Play. En cambio, se hace pasar por una versión modificada de la aplicación de Android OMEMO Instant Messenger (IM) legítima de código abierto, pero está etiquetada como BingeChat. OMEMO IM es una versión reconstruida del cliente Conversations Android Jabber.

El código HTML del sitio web malicioso se copió del sitio legítimo preview.colorlib.com/theme/BingeChat/ el 5 de julio de 2022 mediante la herramienta automatizada HTTrack. Colorlib.com es un sitio web genuino que ofrece temas de WordPress descargables, pero el tema de BingeChat parece no estar disponible allí ahora. El dominio bingechat[.]net se registró el 18 de agosto de 2022.

El actor de amenazas detrás de GravityRAT aún no está claro

Aunque los investigadores de Facebook atribuyen GravityRAT a un grupo con sede en Pakistán, similar a la especulación anterior de Cisco Talos, el grupo detrás del malware permanece sin identificar. Internamente, los investigadores se refieren a este grupo como SpaceCobra y les atribuyen las campañas BingeChat y Chatico.

La funcionalidad maliciosa característica de GravityRAT está asociada con un segmento de código específico que se vinculó previamente a un grupo que empleaba variantes de Windows de GravityRAT en 2020.

En 2021, Cyble publicó un análisis de otra campaña de GravityRAT que mostraba patrones similares a BingeChat. Esto incluía un método de distribución comparable en el que la aplicación troyana se hacía pasar por una aplicación de chat legítima (SoSafe Chat en ese caso), el uso del código OMEMO IM de código abierto y una funcionalidad maliciosa idéntica. La Figura 6 proporciona una comparación entre las clases maliciosas en la muestra de GravityRAT analizada por Cyble y la nueva muestra encontrada en BingeChat. Según este análisis, se puede afirmar con seguridad que el código malicioso de BingeChat pertenece a la familia de malware GravityRAT.

En Zaib
June 16, 2023
Computer Security
Spanish
June 16, 2023
Computer Security

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 5 days

Troyano Al11 Detección de malware

Hace 11 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.