El equipo de investigación de ESET ha descubierto una versión actualizada del troyano de acceso remoto GravityRAT, que se está distribuyendo a través de aplicaciones de mensajería falsas como BingeChat y Chatico. Este malware, que también afecta a sistemas Windows y macOS, ha sido atribuido al grupo conocido como SpaceCobra, aunque su identidad aún es desconocida.
GravityRAT ha estado en actividad desde al menos 2015, pero recientemente ha ampliado sus capacidades, permitiéndole exfiltrar copias de seguridad de WhatsApp Messenger y recibir comandos para eliminar archivos. El grupo detrás del malware utiliza el código de una aplicación de mensajería legítima llamada OMEMO para proporcionar funciones de chat en las aplicaciones maliciosas.
Según los investigadores de ESET, la campaña de BingeChat sigue en curso, mientras que la de Chatico ya no está activa. La aplicación maliciosa se encuentra fuera de la tienda oficial Google Play y se hace pasar por una versión troyanizada de OMEMO Instant Messenger. Una muestra de la aplicación se ha distribuido desde el sitio web bingechat[.]net.
Sin embargo, el sitio web no permite la descarga directa de la aplicación. En su lugar, solicita a los visitantes que inicien sesión, lo que sugiere que las víctimas potenciales son seleccionadas específicamente por los operadores de la campaña.
Una vez que la aplicación maliciosa está instalada y se solicitan los permisos necesarios, GravityRAT comienza a interactuar con su servidor de control y comando (C&C), extrayendo datos del dispositivo y esperando recibir comandos. Entre los datos que puede exfiltrar se encuentran registros de llamadas, lista de contactos, mensajes SMS, archivos con extensiones específicas y la ubicación del dispositivo.
A diferencia de las versiones anteriores, esta variante de GravityRAT es capaz de recibir comandos y actuar según ellos. Los datos exfiltrados se almacenan en archivos de texto en medios externos antes de ser enviados al servidor de C&C, y luego son eliminados del dispositivo.
Aunque se desconoce cómo las potenciales víctimas son atraídas al sitio web malicioso, los investigadores de ESET creen que han sido seleccionadas de manera específica. Hasta ahora, no se ha registrado ninguna víctima de la campaña BingeChat, lo que indica que el objetivo de los atacantes es limitado.
Se ha detectado una muestra adicional de GravityRAT en India bajo el nombre de Chatico, que utiliza la misma estrategia de infiltración a través del sitio web chatico.co[.]uk. Sin embargo, tanto el dominio del sitio web como el servidor de C&C están actualmente fuera de línea.
ESET aconseja a los usuarios de dispositivos Android que eviten descargar aplicaciones de fuentes no confiables y que mantengan su sistema operativo y aplicaciones actualizadas para mitigar el riesgo de infección por malware. Además, es importante tener precaución al otorgar permisos a aplicaciones y no iniciar sesión en sitios web sospechosos.
