Los investigadores de ESET han identificado una versión actualizada del spyware GravityRAT basado en Android que se distribuye como las aplicaciones de mensajería BingeChat y Chatico. GravityRAT es una herramienta de acceso remoto utilizada anteriormente en ataques dirigidos contra usuarios de la India. Hay versiones disponibles para Windows, Android y macOS. El actor detrás de GravityRAT sigue siendo desconocido, mientras que ESET Research rastrea activamente al grupo conocido como SpaceCobra. Probablemente activa desde agosto de 2022, la campaña BingeChat sigue en curso. En la campaña recién descubierta, GravityRAT puede filtrar copias de seguridad de WhatsApp y recibir comandos para eliminar archivos. Las aplicaciones maliciosas también ofrecen funciones legítimas de chat basadas en la aplicación de código abierto OMEMO Instant Messenger.
Al igual que en las campañas de SpaceCobra documentadas anteriormente, la campaña de Chatico iba dirigida a usuarios de la India. La aplicación BingeChat se distribuye a través de una web que requiere registro, probablemente abierto sólo cuando los atacantes esperan que determinadas víctimas lo visiten, posiblemente con una dirección IP concreta, geolocalización, URL personalizada o en un plazo de tiempo específico. En cualquier caso, es muy probable que la campaña esté muy dirigida.
“Encontramos una web que debería proporcionar la aplicación maliciosa tras pulsar el botón DESCARGAR APP; sin embargo, requiere que los visitantes inicien sesión. No teníamos credenciales y los registros estaban cerrados. Lo más probable es que los delincuentes sólo abran el registro cuando esperan la visita de una víctima concreta, posiblemente con una dirección IP, una geolocalización, una URL personalizada o en un plazo de tiempo específico”, declara el investigador de ESET Lukáš Štefanko, quién investigó las aplicaciones maliciosas. “Aunque no pudimos descargar la aplicación BingeChat a través de la web, pudimos encontrar una URL de distribución en VirusTotal”, añade. La aplicación maliciosa nunca ha estado disponible en la tienda Google Play.
ESET Research desconoce cómo las víctimas potenciales fueron atraídas o descubrieron el sitio web malicioso. Teniendo en cuenta que la descarga de la aplicación está condicionada a tener una cuenta y que no fue posible registrar un nuevo usuario durante la investigación, ESET cree que las víctimas potenciales fueron atacadas de forma específica.
