El equipo de investigación de ESET descubre una nueva amenaza cibernética en el mundo de la mensajería. GravityRAT, un troyano de acceso remoto, ha sido identificado como una seria amenaza para la seguridad de los usuarios de WhatsApp. Este malware, distribuido a través de aplicaciones maliciosas como BingeChat y Chatico, tiene la capacidad de robar archivos de las copias de seguridad de WhatsApp y recibir comandos para eliminar información sensible.
La expansión de GravityRAT y su funcionamiento
El grupo SpaceCobra, responsable de la creación y distribución de GravityRAT, ha estado activo desde al menos 2015. Recientemente, han actualizado este troyano para Android, expandiendo sus funcionalidades y poniendo en riesgo a los usuarios de WhatsApp. A través de aplicaciones de mensajería como señuelo, el grupo ha logrado distribuir el backdoor GravityRAT.
Lo preocupante es que el malware utiliza el código de una aplicación legítima de mensajería llamada OMEMO para brindar funcionalidad de chat en las aplicaciones maliciosas BingeChat y Chatico. Además de robar archivos de las copias de seguridad de WhatsApp, GravityRAT puede exfiltrar:
- registros de llamadas
- lista de contactos
- mensajes SMS
- archivos con extensiones específicas: jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32
- ubicación del dispositivo
- información básica del dispositivo
El mecanismo de distribución de GravityRAT
El malware GravityRAT no ha estado disponible en la tienda oficial de aplicaciones de Google Play. Sin embargo, se ha descubierto que una versión troyanizada de la aplicación legítima OMEMO Instant Messenger, renombrada como BingeChat, ha sido utilizada como vehículo para distribuir el software malicioso.
El equipo de ESET ha detectado que el sitio web bingechat[.]net ha estado distribuyendo muestras de esta aplicación maliciosa. Aunque no ha sido posible descargar la aplicación sin las credenciales adecuadas, se sospecha que los operadores del sitio abren el registro en momentos específicos para atraer a víctimas seleccionadas.
Limitaciones y detecciones de la campaña
Según el análisis de ESET, la campaña de BingeChat aún está en curso, aunque no se han registrado víctimas hasta el momento. Sin embargo, se ha detectado otra muestra de GravityRAT en India bajo el nombre de Chatico. Al igual que BingeChat, Chatico se basa en la aplicación OMEMO Instant Messenger y ha sido troyanizada con el malware GravityRAT.
Aunque los dominios del sitio web y el servidor de control y comando de Chatico están actualmente fuera de línea, este descubrimiento refuerza la necesidad de estar alerta y tomar medidas de seguridad adicionales para proteger nuestra información en WhatsApp.
GravityRAT representa una amenaza significativa para los usuarios de WhatsApp, ya que puede acceder a las copias de seguridad de la aplicación y robar archivos sensibles. Además, su capacidad para recibir comandos y eliminar información lo convierte en un troyano de acceso remoto peligroso.
