News

Questo virus accede a WhatsApp, spia e ruba foto e video

Condividi l'articolo

BingeChat รจ il nome del malware, anche se non era presente nel Google Play Store

Il team di ricerca di ESET, un’azienda specializzata nella rilevazione proattiva delle minacce, ha scoperto una nuova versione di GravityRAT, un malware progettato specificamente per i dispositivi Android che potrebbe divulgare foto e video dell’utente, compreso il contenuto sessuale.

Questo malware si diffonde attraverso applicazioni di messaggistica come BingeChat e Chatico; tuttavia, sono disponibili varianti per Windows, Android e macOS.

Attivo dalmeno dal 2015, il gruppo SpaceCobra ha ampliato le sue funzionalitร  per rubare i backup di WhatsApp Messenger e ricevere comandi per eliminare i file. Questa campagna utilizza applicazioni di messaggistica come esca.

“Non avevamo credenziali e i registri erano chiusi. รˆ molto probabile che gli operatori dietro questa campagna aprano il registro solo quando si aspettano che una vittima specifica visiti il sito, forse attraverso un particolare indirizzo IP, geolocalizzazione, un URL personalizzato o entro un periodo di tempo specifico”, commenta Camilo Gutiรฉrrez Amaya, Responsabile del Laboratorio di Ricerca di ESET Latinoamรฉrica.

Come agisce questo virus

Dopo l’avvio, l’applicazione richiede all’utente di abilitare tutti i permessi necessari per funzionare correttamente. Ad eccezione del consenso per leggere i registri delle chiamate, le altre autorizzazioni richieste sono tipiche di qualsiasi applicazione di messaggistica.

L’applicazione offre opzioni per creare un account e accedere. Prima che l’utente apra il proprio profilo nell’applicazione, GravityRAT inizia a interagire con il suo server C&C, filtrando i dati dell’utente dal dispositivo e aspettando che i comandi vengano eseguiti.

รˆ in grado di esfiltrare:

  • Registri delle chiamate
  • Elenco dei contatti
  • Messaggi SMS
  • File con estensioni specifiche: jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32
  • Posizione del dispositivo
  • Informazioni di base sul dispositivo

I dati rubati vengono archiviati in file di testo su supporti esterni, quindi vengono estratti dal server e infine eliminati. Questi sono comandi molto specifici che di solito non si trovano nel malware per Android e che potrebbero mettere in gioco elementi privati che si hanno sul dispositivo.

Leggi anche:

Le versioni precedenti di GravityRAT per Android non potevano ricevere comandi; potevano solo caricare dati estratti su uno dei loro server in un momento determinato.

“Non sappiamo come le potenziali vittime siano state attirate o hanno scoperto il sito web malevolo. Tenendo conto che la possibilitร  di scaricare l’applicazione รจ condizionata dall’avere un account e che non รจ stato possibile registrare un nuovo account al momento dell’analisi, crediamo che le vittime di questa campagna siano state selezionate in modo specifico”, afferma il ricercatore.

Il gruppo dietro questo malware utilizza il codice dell’applicazione di messaggistica istantanea legittima chiamata OMEMO per fornire la funzionalitร  di chat nelle applicazioni di messaggistica malevole BingeChat e Chatico.

Probabilmente attiva dal agosto del 2022, secondo i ricercatori la campagna di BingeChat รจ ancora in corso, mentre quella che utilizza Chatico non รจ piรน attiva. Secondo il nome del file APK, l’applicazione malevola ha il marchio BingeChat e afferma di fornire la funzionalitร  di messaggistica.

Hanno scoperto che il sito web ha distribuito un campione e che l’applicazione malevola dovrebbe essere scaricata dopo il processo, ma richiede che i visitatori effettuino l’accesso, quindi considerano che le potenziali vittime siano altamente specifiche.

Secondo il team di ricerca, l’applicazione malevola non รจ mai stata disponibile sullo store Google Play. Si tratta di una versione malevola dell’applicazione Android legittima OMEMO Instant Messenger (IM) ma ha il marchio BingeChat. OMEMO IM รจ una ricostruzione del client per Android Conversations.

La “exfiltration” dei dati รจ quando le informazioni confidenziali vengono estratte o rubate in modo non autorizzato da un sistema o dispositivo. Ciรฒ puรฒ accadere in diversi modi, come il furto di file o l’uso di software malevoli. รˆ un problema serio perchรฉ mette a rischio la privacy e la sicurezza delle informazioni. I criminali informatici spesso lo fanno per commettere frodi o ricatti.

Fonte

Ti potrebbe interessare:
Segui guruhitech su:

Esprimi il tuo parere!

Sei mai stato vittima di un furto di foto e video sul tuo smartphone? Lascia un commento nellโ€™apposita sezione che trovi piรน in basso e se ti va, iscriviti alla newsletter.

Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email allโ€™indirizzoย guruhitech@yahoo.com.

+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
(Visited 67 times, 1 visits today)
0 0 votes
Article Rating

Rispondi

0 Commenti
Newest
Oldest Most Voted
Inline Feedbacks
View all comments