Alertan del uso del programa espía GravityRAT para acceder a las copias de seguridad de WhatsApp

Redacción

Un grupo de ciberatacantes ha puesto en el punto de mira de su actividad las copias de seguridad de WhatsApp, a las que acceden con una versión del programa espía GravityRAT para Android a través de apps de mensajería como BingeChat y Chatico.

Los investigadores de ESET han identificado una versión actualizada del programa espía GravityRAT basado en Android, una herramienta de acceso remoto utilizada anteriormente en ataques dirigidos contra usuarios de la India, que se distribuye como las aplicaciones de mensajería BingeChat y Chatico.

GravityRAT puede filtrar copias de seguridad de WhatsApp y recibir comandos para eliminar archivos. Las aplicaciones maliciosas también ofrecen funciones legítimas de chat basadas en la aplicación de código abierto OMEMO Instant Messenger, como explican en una nota de prensa.

En el caso de la campaña de BingeChat, el investigador de ESET Lukas Stefanko señala que la aplicación se distribuye a través de una web que requiere registro, por lo que puede que los delincuentes sólo abran el registro cuando esperan la visita de una víctima concreta, posiblemente con una dirección IP, una geolocalización, una URL personalizada o en un plazo de tiempo específico.

El equipo de ESET Research desconoce la manera en que las víctimas potenciales son atraídas o descubren el sitio web malicioso. Teniendo en cuenta que la descarga de la aplicación está condicionada a tener una cuenta y que no fue posible registrar un nuevo usuario durante la investigación, la firma de seguridad cree que las víctimas fueron atacadas de forma específica.

El actor detrás de GravityRAT sigue siendo desconocido, aunque los investigadores de Facebook atribuyen este programa espía a un grupo con sede en Pakistán, como se especuló anteriormente por Cisco Talos. ESET rastrea el grupo bajo el nombre de SpaceCobra, y atribuye a este grupo tanto las campañas de BingeChat como las de Chatico.

Las + leídas