Os dados do backup do WhatsApp estão sendo roubados por um malware chamado “GravityRAT”. A informação veio através do site BleepingComputer, onde é dito que desde agosto de 2022 o malware vem infectando celulares e tablets através do aplicativo de mensagens ‘BingeChat’ para coletar dados.
A versão mais recente do GravityRAT é capaz de roubar arquivos do backup do WhatsApp, segundo Lukas Stefanko, pesquisador da ESET, uma empresa de segurança responsável pelo desenvolvimento do antivírus ESET NOD32.
Detectado pela primeira vez em dispositivos Android em 2020, o GravityRAT é controlado pelo grupo chamado “SpaceCobra”. Atualmente, o malware está sendo distribuído através do aplicativo chamado ‘BingeChat’, que diz ser um app de mensagens instantâneas que conta com criptografia de ponta a ponta e uma interface limpa.
De acordo com a publicação no site welivesecurity da ESET, Lucas Stefanko diz que o aplicativo é baixado através do endereço “bingechat[.]net” e provavelmente outros sites e canais de distribuição. Entretanto, o download do ‘BingeChat” é baseado em convite e exige que o visitante insira dados validos ou registrem uma nova conta. Mesmo que o registro esteja fechado atualmente, esse método permite que a distribuição ocorra apenas para pessoas visadas, tornando difícil o trabalho dos pesquisadores de segurança, que tentam obter uma cópia para análise.
O grupo ‘SpaceCobra’ utilizaram a tática de oferta de APKs Android em 2021 com o app de mensagens ‘SoSafe’. Antes disso, os operadores do GravityRAT estavam utilizando o ‘Travel Mate Pro’. Segundo Lucas, estes aplicativos são uma versão “trojanizada” do “OMEMO IM”, um app de código que é legítimo.
Após uma pesquisa mais a fundo, Lucas descobriu que o “SpaceCobra” utilizou o “OMEMO IM” como base para outro app falso chamado “Chatico”, que foi distribuído em 2022 através do endereço “chatico.co[.]uk”, que agora está offline.
Estratégia do grupo ‘SpaceCobra’ para distribuir o malware GravityRAT em dispositivos Android. Fonte: ESET
Do que o GravityRAT é capaz
Ao baixar o aplicativo BingeChat, o usuário recebe solicitações de permissões, incluindo o acesso a contatos, localização, telefone, SMS, armazenamento, registro de chamadas, câmera e microfone. Estas permissões são padrão para apps de mensagens instantâneas, então até este momento é difícil levantar alguma suspeita.
Antes mesmo do usuário registrar uma conta no BingeChat, o app envia registros de chamadas, listas de contatos, mensagens SMS, localização do dispositivo, entre outros dados básicos para o servidor de comando e controle do agente da ameaça. Além disso, arquivos de mídia e documentos nos formatos jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18 e crypt32 também são roubados. Os formatos crypt são os backups do WhatsApp.
Extração de dados feita pelo malware GravityRAT em um dispositivo Android. Fonte: ESET
Outro recurso que o malware GravityRAT possui é o de receber três comandos de seus controladores (‘SpaceCobra’): o “excluir todos os arquivos” (de uma extensão especificada), “excluir todos os contatos” e o “excluir todos os registros de chamadas”.
O que fazer para evitar a infecção do celular ou tablet Android?
Hoje o grupo SpaceCbora visa a Índia. Porém, é recomendado que todos os usuários de dispositivos Android evitem baixar APKs fora da Play Store.
Fonte: https://www.terra.com.br/byte/cuidado-backup-do-whatsapp-esta-sendo-roubado-por-virus-diz-site,d9ec95cf9caf913d5ddb2be0622d1596l62qs2vc.html
