Grazie a un’analisi dell’ultima versione dello spyware GravityRAT, la società di sicurezza informatica ESET ha compreso come essa sia in grado di rubare backup di WhatsApp alle vittime.
Il malware Android, diffuso attraverso app come BingeChat e Chatico, è uno strumento di accesso remoto utilizzato che vede la maggior parte di casi registrati in Asia. Di fatto, nonostante GravityRAT sia ben noto agli esperti di sicurezza, non si sa ancora con certezza chi siano i creatori.
ESET sospetta che, il gruppo responsabile di tali campagne, sia noto come SpaceCobra ma non è ancora in possesso di indizi definitivi a tal proposito.
La versione più avanzata di GravityRAT è in grado di infiltrarsi nei backup della celebre app di messaggistica e di ottenere i permessi per gestire a piacimento i file qui contenuti.
L’app BingeChat, maggiore responsabile della diffusione dello spyware, è distribuita tramite un sito Web che richiede una registrazione. L’agente malevolo sembra essere latente, per attivarsi solo su alcuni dispositivi specifici, forse a seconda di indirizzo IP, posizione geografica o, più semplicemente, dopo un periodo di apparente stasi.
Backup di WhatsApp a rischio: ecco come si comporta GravityRAT
Lukas Stefanko, ricercatore ESET, ha dichiarato a proposito “Dopo aver toccato il pulsante DOWNLOAD APPLICATION, abbiamo trovato un sito Web che inviava app dannose e che richiede ai visitatori di effettuare il login. Non avevendo le credenziali, non abbiamo potuto registrarci. Riteniamo che le registrazioni degli operatori si aprano solo quando si aspetta una precisa vittima, possibilmente da un particolare indirizzo IP, da una zona geografica, da URL personalizzato o entro un determinato periodo di tempo“.
Il lato positivo di GravityRAT e delle app utilizzate per la diffusione è che non sono presenti su Google Play Store. Ciò non significa che, in futuro, questo spyware non sia in qualche modo introdotto illecitamente nel famoso store ufficiale di Android.