È in corso una campagna di distribuzione del trojan ad accesso remoto GravityRAT camuffato come un’applicazione di chat crittografata end-to-end chiamata SoSafe Chat.
Una volta installata l’app sul dispositivo del malcapitato, lo spyware può eseguire un’ampia gamma di comportamenti dannosi, consentendo agli hacker di rubare i dati, spiare la vittima e tracciare in tempo reale la sua posizione, geolocalizzando il dispositivo.
I dati più recenti relativi alle attività del malware mostrano che GravityRAT è specializzato nel prendere di mira individui con alte cariche sociali.
Da segnalare che i principali focolai di infezione sono stati registrati prevalentemente in India in seguito ad un’intensa attività di attacco condotta da attori pakistani: le particolari caratteristiche tecniche, però, lasciano supporre che la diffusione del malware potrebbe facilmente espandersi in tutto il mondo, magari utilizzando altre false app per Android.
Indice degli argomenti
GravityRAT si camuffa da app di chat sicura
Già nel 2020, infatti, il malware prendeva di mira gli utenti tramite un’app Android denominata “Travel Mate Pro”, ma poiché la pandemia ha rallentato la possibilità e l’interesse per i viaggi, i criminal hacker hanno cambiato strategia di distribuzione, scegliendo una veste differente.
Oggi, l’app malevole si chiama “SoSafe Chat” ed è promossa come un’applicazione di messaggistica sicura con crittografia end-to-end.
Il sito web che molto probabilmente ha avuto un importante ruolo nella distribuzione dell’app (sosafe.co[.]in) rimane online ancora oggi, ma il link per il download e il modulo di registrazione non sono attualmente funzionanti.
Il canale e il metodo di distribuzione utilizzati rimangono sconosciuti, ma il traffico sul sito è stato probabilmente indirizzando mediante campagne di malvertising, post sui social media e messaggi istantanei agli obiettivi.
Le capacità di spionaggio di GravityRAT
L’elenco completo dei comportamenti dannosi di GravityRAT rende la minaccia particolarmente insidiosa in quanto consente agli attori della minaccia di:
- leggere SMS, registri delle chiamate e dati dei contatti;
- leggere le informazioni correnti sulla rete cellulare, il numero di telefono e il numero di serie del telefono della vittima, lo stato di eventuali chiamate in corso e un elenco di eventuali Account telefonici registrati sul dispositivo;
- ottenere la posizione del dispositivo;
- leggere o scrivere i file sulla memoria esterna del dispositivo;
- ottenere informazioni sulla rete utilizzata per la connessione dati;
- registrare audio;
- modificare o reimpostare le impostazioni di sistema.
Secondo alcuni ricercatori, l’elenco delle autorizzazioni richieste dal malware è piuttosto ampio, ma tecnicamente può comunque sembrare plausibile per un’app di messaggistica istantanea, che può quindi richiedere autorizzazione ad accedere ai contatti, al microfono ed alla posizione per un utilizzo standard.
Rispetto alla versione 2020, GravityRAT ha aggiunto la possibilità di registrare l’audio e oltre ad alcune funzionalità specifiche per dispositivi mobili come ad esempio il recupero della posizione e la lettura dei dati della rete cellulare.
Prima del rilascio della versione 2020, GravityRAT si rivolgeva esclusivamente alle macchine Windows, non avendo la capacità di infettare i dispositivi mobili.
Pertanto, il riemergere del malware con un nuovo target, quello dei dispositivi mobili, indica che i suoi creatori sono coinvolti attivamente nello sviluppo del malware stesso.
Come prevenire l’infezione dello spyware
Quando si parla di infezioni malevoli rivolte a dispositivi mobili, il consiglio preventivo è di verificare sempre la provenienza stessa dell’app e l’affidabilità dell’azienda sviluppatrice, nonché sempre molto utile controllare i permessi richiesti dalle app stesse, come l’accesso ai contatti, al microfono, alla posizione, alle cartelle e via dicendo.
Se si nota un comportamento sospetto dell’app o la richiesta di un privilegio inusuale, è consigliabile disinstallarla immediatamente, segnalandola alle autorità competenti e allo store che la distribuisce.
Un’altra variazione da notare in caso di installazione di app di cui si ha un sospetto è quella relativa alla batteria del dispositivo: se dopo l’installazione di una nuova app potenzialmente sospetta il dispositivo si scarica più rapidamente del solito, potrebbe essere un sintomo di diversi processi che stanno agendo sul dispositivo, tutti ricollegabili al malware nascosto.
È necessario poi prestare attenzione se appaiono messaggi improvvisi tra le notifiche: anche in questo caso, la disinstallazione dell’app è la cosa migliore da fare.
