As cópias de segurança do histórico de mensagens no WhatsApp estão sob a ameaça perante o spyware (software espião) GravityRAT que rouba backups. A descoberta foi feita pela equipa de peritos de segurança da ESET e podem comprometer as tuas conversas guardadas.
Tal como apontam os peritos de segurança, em causa está uma versão atualizada do spyware GravityRAT para Android. A ameaça está a ser distribuída como as aplicações de mensagens BingeChat e Chatico e pode ter consequências graves para os nossos dados.
Spyware GravityRAT para Android rouba ficheiros backup do WhatsApp
O GravityRAT é uma ferramenta de acesso remoto conhecida desde pelo menos 2015 e anteriormente utilizada em ataques direcionados na Índia. Aliás, estão disponíveis versões para Windows, Android e macOS.
Mais ainda, o responsável por detrás do GravityRAT permanece desconhecido, com a agência de segurança a seguir o grupo internamente como SpaceCobra. Para já, contudo, o grupo continuará a operar.
Aliás, esta ameaça estará provavelmente ativa desde agosto de 2022. Desde então que a campanha BingeChat ainda está em curso. No entanto, a campanha que utiliza o Chatico já não está ativa, algo que nos traz pelo menos uma boa notícia.
Novas e antigas ameaças que voltam à carga em 2023
Note-se que o BingeChat é distribuído por um website que publicita serviços de mensagens gratuitos. Aprofundando a investigação e destacando-se na campanha recém-descoberta, o GravityRAT pode roubar backups do WhatsApp.
Em simultâneo, pode receber comandos para eliminar ficheiros. Isto dito, as aplicações maliciosas também fornecem funcionalidades de conversação legítimas baseadas na app de código aberto OMEMO Instant Messenger.
O grupo SpaceCobra ressuscitou o GravityRAT para incluir estas funcionalidades expandidas. Ora, tal como anteriormente, a campanha utiliza aplicações de mensagens como cobertura para distribuir a backdoor do GravityRAT.
Cuidado com os websites desconhecidos
Ainda segundo a agência de segurança, um utilizador na Índia foi alvo da versão atualizada do Chatico, semelhante às campanhas do SpaceCobra documentadas anteriormente. Todavia, tanto o website como o servidor de comando e controlo associados ao Chatico estão offline neste momento.
Por outro lado, a campanha que utiliza o BingeChat continua ativa, distribuindo o malware através de um website que requer registo do utilizador. Foi provavelmente aberto apenas quando os atacantes esperam que vítimas específicas o visitem, possivelmente com um determinado endereço IP, geolocalização, URL personalizado ou num período específico.
Por fim e em qualquer caso, a entidade de segurança acredita que a campanha é altamente direcionada.
Editores 4gnews recomendam:
