Aplicación de chat encriptada de extremo a extremo falsa que propaga software espía de Android
El troyano de acceso remoto GravityRAT se está distribuyendo una vez más de forma salvaje, esta vez bajo la apariencia de una aplicación de chat cifrada de extremo a extremo llamada SoSafe Chat.
Este RAT (troyano de acceso remoto) en particular está dirigido principalmente a usuarios indios y está siendo distribuido por actores paquistaníes.
Los datos de telemetría de la última campaña muestran que el área objetivo no ha cambiado y Gravity continúa apuntando a personas de alto rango en India, como oficiales militares.
Disfrazado como una aplicación de chat segura
En 2020, el malware se dirigió a las personas a través de una aplicación de Android llamada «Travel Mate Pro», pero a medida que la pandemia ralentizaba los viajes, los actores se cambiaron a ropa nueva.
La aplicación ahora se llama «SoSafe Chat» y se anuncia como una aplicación de mensajería segura con cifrado de extremo a extremo.
El sitio web que probablemente jugó un papel en la difusión de la aplicación (sosafe.co[.]in) permanece en línea hoy, pero el enlace de descarga y el formulario de registro ya no funcionan.
El canal y el método de distribución siguen siendo desconocidos, pero es probable que el tráfico al sitio se haya dirigido a destinos a través de publicidad maliciosa, publicaciones en redes sociales y mensajes instantáneos.
Amplias habilidades de espionaje
Una vez instalado en el dispositivo de un objetivo, el software espía puede realizar una variedad de comportamientos maliciosos que permiten a los atacantes exfiltrar datos, espiar a la víctima y rastrear su ubicación.
La lista completa de comportamientos maliciosos incluye
Leer SMS, registros de llamadas y datos de contacto
Cambiar o cambiar la configuración del sistema
Leer información actualizada en la red celular, el número de teléfono y el número de serie del teléfono de la víctima, el estado de todas las llamadas en curso y una lista de todas las cuentas telefónicas registradas en el dispositivo.
Leer o escribir archivos en el almacenamiento externo del dispositivo
Grabar sonido
Recupera información de red relacionada
Obtener la ubicación del dispositivo
Según los investigadores de Cyble, la lista de permisos que solicita el malware para esta funcionalidad es, por supuesto, bastante extensa, pero aún puede parecer justificada para una aplicación de mensajería instantánea.
En comparación con la versión 2020, GravityRAT ha agregado la capacidad de grabar audio y funciones específicas de dispositivos móviles, como la recuperación de ubicación y la exfiltración de datos a través de la red celular.
Antes de la versión 2020, GravityRAT estaba dirigido exclusivamente a computadoras con Windows y no tenía forma de infectar dispositivos móviles.
Por lo tanto, la reaparición del malware en estado salvaje al atacar dispositivos móviles muestra que sus autores lo están desarrollando activamente.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
