Ameaça móvel GravityRAT oculta em aplicativos de bate-papo

Pesquisadores descobriram uma versão recentemente atualizada do spyware Android GravityRAT que está circulando por meio de aplicativos de mensagens chamados BingeChat e Chatico. GravityRAT é uma ferramenta de acesso remoto que está em uso desde pelo menos 2015 e já foi empregada em ataques direcionados contra a Índia. A disponibilidade das versões Windows, Android e macOS deste spyware foi documentada por várias fontes, como Cisco Talos, Kaspersky e Cyble. O grupo responsável pelo GravityRAT, conhecido internamente como SpaceCobra, permanece sem identificação.

A campanha BingeChat, que provavelmente começou em agosto de 2022, ainda está ativa, enquanto a campanha Chatico não está mais operacional. O BingeChat é distribuído por meio de um site que anuncia serviços de mensagens gratuitos. Notavelmente, a última campanha envolvendo o GravityRAT permite que o spyware extraia backups do WhatsApp e receba comandos para exclusão de arquivos. Além disso, os aplicativos maliciosos oferecem funcionalidade de bate-papo legítima com base no aplicativo OMEMO Instant Messenger de código aberto.

O MalwareHunterTeam alertou os pesquisadores sobre esta campanha compartilhando o hash de uma amostra do GravityRAT por meio de um tweet. O aplicativo malicioso, marcado como BingeChat e alegando fornecer serviços de mensagens, foi identificado com base no nome do arquivo APK. O site bingechat[.]net, onde esta amostra poderia ter sido baixada, foi descoberto. No entanto, o acesso ao aplicativo exigia login e o registro foi encerrado. É provável que os registros sejam abertos apenas quando os operadores antecipam a visita de uma vítima específica, potencialmente com base em seu endereço IP, geolocalização, URL personalizado ou dentro de um prazo específico. Portanto, os pesquisadores acreditam que as vítimas em potencial são altamente visadas.

Meios de Distribuição

Embora os pesquisadores não pudessem baixar o aplicativo BingeChat diretamente do site, eles encontraram uma URL no VirusTotal que continha o aplicativo malicioso BingeChat para Android e apontava para um arquivo BingeChat.zip. Este aplicativo tinha o mesmo hash mencionado no tweet mencionado, indicando que este URL serve como um ponto de distribuição para esta amostra específica do GravityRAT.

Além disso, o código do aplicativo BingeChat faz referência ao mesmo nome de domínio, bingechat[.]net, o que sugere seu uso para fins de distribuição. Vale a pena notar que o aplicativo malicioso nunca esteve disponível na Google Play Store. Em vez disso, ele se disfarça como uma versão modificada do legítimo aplicativo Android OMEMO Instant Messenger (IM) de código aberto, mas é rotulado como BingeChat. OMEMO IM é uma versão reconstruída do cliente Conversations Android Jabber.

O código HTML do site malicioso foi copiado do site legítimo preview.colorlib.com/theme/BingeChat/ em 5 de julho de 2022, usando a ferramenta automatizada HTTrack. Colorlib.com é um site genuíno que fornece temas WordPress para download, mas o tema BingeChat parece não estar disponível lá agora. O domínio bingechat[.]net foi registrado em 18 de agosto de 2022.

Ator de ameaça por trás do GravityRAT ainda não está claro

Embora os pesquisadores do Facebook atribuam o GravityRAT a um grupo baseado no Paquistão, semelhante à especulação anterior do Cisco Talos, o grupo por trás do malware permanece não identificado. Internamente, os pesquisadores se referem a esse grupo como SpaceCobra e atribuem a eles as campanhas BingeChat e Chatico.

A funcionalidade maliciosa característica do GravityRAT está associada a um segmento de código específico que foi vinculado anteriormente a um grupo que emprega variantes do Windows do GravityRAT em 2020.

Em 2021, Cyble publicou uma análise de outra campanha GravityRAT que exibia padrões semelhantes ao BingeChat. Isso incluiu um método de distribuição comparável em que o aplicativo trojanizado se apresentava como um aplicativo de bate-papo legítimo (SoSafe Chat, nesse caso), o uso de código OMEMO IM de código aberto e funcionalidade maliciosa idêntica. A Figura 6 fornece uma comparação entre as classes maliciosas na amostra GravityRAT analisada pelo Cyble e a nova amostra encontrada no BingeChat. Com base nessa análise, pode-se afirmar com segurança que o código malicioso no BingeChat pertence à família de malware GravityRAT.