Nell’ultimo anno, è emersa una preoccupante campagna di malware che sfrutta le popolari app di messaggistica BingeChat e Chatico: gli esperti di sicurezza informatica hanno scoperto che è stata distribuita una versione avanzata e aggiornata di GravityRAT per Android attraverso queste piattaforme, causando gravi danni agli utenti.
Mentre la campagna su BingeChat è ancora in corso, la campagna su Chatico sembra essere cessata.
Indice degli argomenti
GravityRAT ruba i backup di Whatsapp
Secondo i ricercatori di sicurezza di ESET, il gruppo responsabile di questa campagna è stato identificato come “SpaceCobra”. Sebbene i responsabili dietro GravityRAT rimangano ancora sconosciuti, si sospetta che l’autore della minaccia abbia sede in Pakistan e sia associato ad attacchi contro il personale militare in India.
La minaccia si diffonde tramite l’app dannosa BingeChat, che viene distribuita attraverso il sito “bingechat[.]net” e potenzialmente altri domini o canali di distribuzione. In apparenza, BingeChat sembra essere una versione trojanizzata di OMEMO IM, un’app legittima di messaggistica istantanea open source per dispositivi Android. Tuttavia, una volta installata, l’app dannosa richiede all’utente di inserire credenziali valide entro un periodo di tempo specifico.
Una volta completata la registrazione, BingeChat richiede una serie di autorizzazioni per accedere a vari dati sensibili, tra cui contatti, posizione, telefono, SMS, memoria, registri delle chiamate, videocamera e microfono. Il nuovo spyware GravityRAT, incluso nell’app dannosa, è in grado di esfiltrare i backup di WhatsApp, cancellare tutti i contatti e i registri delle chiamate e rubare file multimediali e documenti in diversi formati.
I dati esfiltrati vengono archiviati in file di testo su supporti esterni al container dell’applicazione stessa e inviati al server C2 (comando e controllo) prima di essere rimossi dai sistemi delle vittime. Questa sofisticata operazione di esfiltrazione dei dati evidenzia che gli operatori dietro GravityRAT sono attivi e continuamente aggiornano il malware per lanciare attacchi sempre più complessi, sfuggendo quanto possibile ai rilevamenti.
Attenti alle app scaricate da fonti non attendibili
Gli esperti in sicurezza avvertono che questa campagna malevola mira principalmente agli utenti di dispositivi mobili, evidenziando l’importanza di prestare attenzione alle app scaricate da fonti non attendibili o di terze parti. L’uso di app provenienti da fonti affidabili e l’installazione di soluzioni antivirus aggiornate sui dispositivi possono aiutare a mitigare i rischi di tali minacce.
La scoperta di questa campagna malware sottolinea ancora una volta l’importanza della consapevolezza e della prudenza nell’utilizzo di dispositivi connessi a Internet. Gli utenti devono essere vigili e adottare misure precauzionali per proteggere la propria privacy e la sicurezza dei propri dati, evitando di cadere vittime di attacchi mirati come quelli perpetrati da GravityRAT.
È anche sempre più importante che le autorità competenti e le aziende sviluppatrici di app collaborino per implementare misure di sicurezza sempre più robuste e garantire che i propri utenti siano protetti da minacce informatiche sempre più sofisticate.
Solo attraverso una stretta cooperazione e un’attenzione costante alla sicurezza informatica sarà possibile contrastare efficacemente tali attacchi e proteggere la privacy digitale di tutti.
