La última versión de GravityRAT viene con mejoras notables, incluida la capacidad de robar archivos de respaldo de WhatsApp
Android sin dudas es uno de los sistemas operativos más populares debido a la gran cantidad de dispositivos móviles en los que está presente y que lejos de eso, su gran popularidad tal vez se deba a que es de código abierto y lo cual permite a los entusiastas y desarrolladores poder implementar el sistema en una gama amplia de dispositivos de hardware.
Dejado esto de lado, el motivo del porqué mencionar que Android tiene bastante presencia en el mercado, es debido a que tambien se ha convertido en uno de los objetivos principales para muchos hackers, ya que no es extraño escuchar sobre aplicaciones son eliminadas de la PlayStore por motivos de seguridad o que se han detectado amenazas que ponen en riesgo los datos del usuario.
Tal es el caso de GravityRAT, un malware que ha estado presente durante muchos años en Android, ya que este troyano de acceso remoto (RAT) de espionaje conocido se ha utilizado en diversas vocaciones para poder obtener datos de las víctimas.
En este caso, en el cual fue detectado GravityRAT dentro de la aplicación de chat llamada «BingeChat» por parte del equipo de ESET, se menciona que el malware intenta robar datos de los dispositivos de las víctimas y que cuenta con la capacidad de robar archivos de copia de seguridad de WhatsApp.
Como muchos sabrán las copias de seguridad de WhatsApp se crean para ayudar a los usuarios a transferir su historial de mensajes, archivos multimedia y datos a nuevos dispositivos. Pueden contener datos confidenciales como texto, videos, fotos, documentos y más.
La aplicación BingeChat afirma ser un servicio de chat encriptado de extremo a extremo con una interfaz básica pero con funciones avanzadas. Se proporciona principalmente a través del sitio oficial y otros canales de distribución de terceros, pero la descarga sigue estando basada en invitación.
Los usuarios que instalaban BingeChat, no notaban nada «extraño en los permisos que se concedían en la aplicacion ya que esta requiere permisos como acceso a contactos, ubicación, teléfono, SMS, almacenamiento, registro de llamadas, cámara y micrófono, aparentemente arriesgado pero en realidad normal para un servicio de mensajería instantánea.
Una vez que se instala la aplicación BingeChat, GravityRAT toma medidas inmediatas al enviar registros de llamadas, listas de contactos, mensajes SMS, ubicación del dispositivo e información básica del dispositivo al servidor de comando y control del atacante.
Por lo tanto, se roban todos los archivos y documentos e incluso Crypt32, ya que pueden contener datos confidenciales de interés. Estas extensiones se refieren principalmente a las copias de seguridad de WhatsApp Messenger, que el malware puede incluso eliminar.
GravityRAT puede recibir comandos para eliminar todos los contactos, todos los registros de llamadas y todos los archivos con una extensión específica.
ESET dice que la aplicación se entregaba a través de «bingechat.net» y posiblemente otros dominios o canales de distribución, pero la descarga se basa en una invitación, lo que requiere que los visitantes ingresen credenciales válidas o registren una nueva cuenta.
Si bien los registros están actualmente cerrados, este método solo les permite distribuir aplicaciones maliciosas a personas específicas. Esto hace que sea más difícil para los investigadores acceder a una transcripción para su análisis.
Finalmente cabe mencionar que esta campaña de GravityRAT se dirige a usuarios en la India, no quiere decir que los demás queden exentos, ya que como siempre se recomienda a todos los usuarios de Android deben tener cuidado y tomar las precauciones necesarias y sobre todo abstenerse de descargar APK de sitios no oficiales.
Además, los usuarios deben tener cuidado de otorgar permisos excesivos o innecesarios al instalar cualquier aplicación. En el caso de BingeChat, los permisos solicitados pueden parecer normales para una aplicación de mensajería instantánea, lo que dificulta que los usuarios reconozcan comportamientos sospechosos. Sin embargo, revisar y evaluar los permisos solicitados por cualquier aplicación antes de otorgarlos es fundamental.
Sobre ello cabe mencionar que las ultimas versiones de Android cuenta con la capacidad de mostrar información en blanco, solo es cuestión de ingresar en el apartado de los permisos de las aplicaciones e ir configurando y desactivando los que consideren que no son necesarios que obtenga esa aplicacion.