in

Aplicación de chat encriptada de extremo a extremo falsa que propaga software espía de Android


Software espía

El troyano de acceso remoto GravityRAT se está distribuyendo una vez más de forma salvaje, esta vez bajo la apariencia de una aplicación de chat cifrada de extremo a extremo llamada SoSafe Chat.

Este RAT (troyano de acceso remoto) en particular está dirigido principalmente a usuarios indios y está siendo distribuido por actores paquistaníes.

Los datos de telemetría de la última campaña muestran que el área objetivo no ha cambiado y Gravity continúa apuntando a personas de alto rango en India, como oficiales militares.

Disfrazado como una aplicación de chat segura

En 2020, el malware se dirigió a las personas a través de una aplicación de Android llamada «Travel Mate Pro», pero a medida que la pandemia ralentizaba los viajes, los actores se cambiaron a ropa nueva.

La aplicación ahora se llama «SoSafe Chat» y se anuncia como una aplicación de mensajería segura con cifrado de extremo a extremo.

El sitio web de SoSafe Chat
El sitio web de SoSafe Chat

El sitio web que probablemente jugó un papel en la difusión de la aplicación (sosafe.co[.]in) permanece en línea hoy, pero el enlace de descarga y el formulario de registro ya no funcionan.

El canal y el método de distribución siguen siendo desconocidos, pero es probable que el tráfico al sitio se haya dirigido a destinos a través de publicidad maliciosa, publicaciones en redes sociales y mensajes instantáneos.

Amplias habilidades de espionaje

Una vez instalado en el dispositivo de un objetivo, el software espía puede realizar una variedad de comportamientos maliciosos que permiten a los atacantes exfiltrar datos, espiar a la víctima y rastrear su ubicación.

La lista completa de comportamientos maliciosos incluye

  • Leer SMS, registros de llamadas y datos de contacto
  • Cambiar o cambiar la configuración del sistema
  • Leer información actualizada en la red celular, el número de teléfono y el número de serie del teléfono de la víctima, el estado de todas las llamadas en curso y una lista de todas las cuentas telefónicas registradas en el dispositivo.
  • Leer o escribir archivos en el almacenamiento externo del dispositivo
  • Grabar sonido
  • Recupera información de red relacionada
  • Obtener la ubicación del dispositivo

Según los investigadores de Cyble, la lista de permisos que solicita el malware para esta funcionalidad es, por supuesto, bastante extensa, pero aún puede parecer justificada para una aplicación de mensajería instantánea.

Permisos que SoSafe solicitó durante la instalación
Permisos solicitados por SoSafe
Fuente: Cyble

En comparación con la versión 2020, GravityRAT ha agregado la capacidad de grabar audio y funciones específicas de dispositivos móviles, como la recuperación de ubicación y la exfiltración de datos a través de la red celular.

Función exflit SMS
Función exflit SMS
Fuente: Cyble

Antes de la versión 2020, GravityRAT estaba dirigido exclusivamente a computadoras con Windows y no tenía forma de infectar dispositivos móviles.

Por lo tanto, la reaparición del malware en estado salvaje al atacar dispositivos móviles muestra que sus autores lo están desarrollando activamente.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

El Consejo de Liderazgo de MSAlliance forma el Consejo de Proveedores para abordar el riesgo de la cadena de suministro de servicios gestionados

Sistema del FBI pirateado para enviar advertencias «urgentes» de ciberataques falsos por correo electrónico