Questo virus accede a WhatsApp, spia e ruba foto e video

BingeChat è il nome del malware, anche se non era presente nel Google Play Store

Il team di ricerca di ESET, un’azienda specializzata nella rilevazione proattiva delle minacce, ha scoperto una nuova versione di GravityRAT, un malware progettato specificamente per i dispositivi Android che potrebbe divulgare foto e video dell’utente, compreso il contenuto sessuale.

Questo malware si diffonde attraverso applicazioni di messaggistica come BingeChat e Chatico; tuttavia, sono disponibili varianti per Windows, Android e macOS.

Attivo dalmeno dal 2015, il gruppo SpaceCobra ha ampliato le sue funzionalità per rubare i backup di WhatsApp Messenger e ricevere comandi per eliminare i file. Questa campagna utilizza applicazioni di messaggistica come esca.

“Non avevamo credenziali e i registri erano chiusi. È molto probabile che gli operatori dietro questa campagna aprano il registro solo quando si aspettano che una vittima specifica visiti il sito, forse attraverso un particolare indirizzo IP, geolocalizzazione, un URL personalizzato o entro un periodo di tempo specifico”, commenta Camilo Gutiérrez Amaya, Responsabile del Laboratorio di Ricerca di ESET Latinoamérica.

Come agisce questo virus

Dopo l’avvio, l’applicazione richiede all’utente di abilitare tutti i permessi necessari per funzionare correttamente. Ad eccezione del consenso per leggere i registri delle chiamate, le altre autorizzazioni richieste sono tipiche di qualsiasi applicazione di messaggistica.

L’applicazione offre opzioni per creare un account e accedere. Prima che l’utente apra il proprio profilo nell’applicazione, GravityRAT inizia a interagire con il suo server C&C, filtrando i dati dell’utente dal dispositivo e aspettando che i comandi vengano eseguiti.

È in grado di esfiltrare:

• Registri delle chiamate
• Elenco dei contatti
• Messaggi SMS
• File con estensioni specifiche: jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32
• Posizione del dispositivo
• Informazioni di base sul dispositivo

I dati rubati vengono archiviati in file di testo su supporti esterni, quindi vengono estratti dal server e infine eliminati. Questi sono comandi molto specifici che di solito non si trovano nel malware per Android e che potrebbero mettere in gioco elementi privati che si hanno sul dispositivo.

Leggi anche:

• L’FBI lancia l’allarme sui caricatori USB pubblici

Le versioni precedenti di GravityRAT per Android non potevano ricevere comandi; potevano solo caricare dati estratti su uno dei loro server in un momento determinato.

“Non sappiamo come le potenziali vittime siano state attirate o hanno scoperto il sito web malevolo. Tenendo conto che la possibilità di scaricare l’applicazione è condizionata dall’avere un account e che non è stato possibile registrare un nuovo account al momento dell’analisi, crediamo che le vittime di questa campagna siano state selezionate in modo specifico”, afferma il ricercatore.

Il gruppo dietro questo malware utilizza il codice dell’applicazione di messaggistica istantanea legittima chiamata OMEMO per fornire la funzionalità di chat nelle applicazioni di messaggistica malevole BingeChat e Chatico.

Probabilmente attiva dal agosto del 2022, secondo i ricercatori la campagna di BingeChat è ancora in corso, mentre quella che utilizza Chatico non è più attiva. Secondo il nome del file APK, l’applicazione malevola ha il marchio BingeChat e afferma di fornire la funzionalità di messaggistica.

Hanno scoperto che il sito web ha distribuito un campione e che l’applicazione malevola dovrebbe essere scaricata dopo il processo, ma richiede che i visitatori effettuino l’accesso, quindi considerano che le potenziali vittime siano altamente specifiche.

Secondo il team di ricerca, l’applicazione malevola non è mai stata disponibile sullo store Google Play. Si tratta di una versione malevola dell’applicazione Android legittima OMEMO Instant Messenger (IM) ma ha il marchio BingeChat. OMEMO IM è una ricostruzione del client per Android Conversations.

La “exfiltration” dei dati è quando le informazioni confidenziali vengono estratte o rubate in modo non autorizzato da un sistema o dispositivo. Ciò può accadere in diversi modi, come il furto di file o l’uso di software malevoli. È un problema serio perché mette a rischio la privacy e la sicurezza delle informazioni. I criminali informatici spesso lo fanno per commettere frodi o ricatti.

Fonte

Ti potrebbe interessare:

• Ecco perché non dovresti comprare i TV Box cinesi [VIDEO]

Segui guruhitech su:

• Google News: bit.ly/gurugooglenews
• Instagram: instagram.com/guruhitech_official
• Telegram: t.me/guruhitech
• Facebook: facebook.com/guruhitechweb
• Twitter: twitter.com/guruhitech1
• Threads: threads.net/@guruhitech_official
• Bluesky: bsky.app/profile/guruhitech.bsky.social
• GETTR: gettr.com/user/guruhitech
• Rumble: rumble.com/user/guruhitech
• VKontakte: vk.com/guruhitech
• MeWe: mewe.com/i/guruhitech
• Skype: live:.cid.d4cf3836b772da8a
• WhatsApp: bit.ly/whatsappguruhitech

Esprimi il tuo parere!

Sei mai stato vittima di un furto di foto e video sul tuo smartphone? Lascia un commento nell’apposita sezione che trovi più in basso e se ti va, iscriviti alla newsletter.

Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo [email protected].