Noticias de Barquisimeto – PromarTV Canal de Televisión
El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó una versión actualizada para Android de GravityRAT, un troyano de acceso remoto que se distribuye como las aplicaciones de mensajería BingeChat y Chatico.
Existen versiones disponibles de este malware para Windows, Android y macOS, y si bien el actor detrás de este troyano sigue siendo desconocido desde ESET se rastrea al grupo como SpaceCobra.
Activo desde al menos 2015, el grupo SpaceCobra ahora amplió sus funcionalidades para exfiltrar las copias de seguridad de WhatsApp Messenger y recibir comandos para eliminar archivos. Esta campaña utiliza aplicaciones de mensajería como señuelo para distribuir el backdoor GravityRAT.
El grupo detrás de este malware utiliza el código de la aplicación de mensajería instantánea legítima llamada OMEMO para proporcionar la funcionalidad de chat en las aplicaciones de mensajería maliciosas BingeChat y Chatico. Probablemente activa desde agosto de 2022, según ESET la campaña de BingeChat aún está en curso. Sin embargo, la campaña que utiliza Chatico ya no está activa.
Según el nombre del archivo APK, la app maliciosa tiene la marca BingeChat y afirma proporcionar la funcionalidad de mensajería. Desde el equipo de ESET encontraron que el sitio web bingechat.net a estado distribuyendo una muestra. El sitio web debería descargar la aplicación maliciosa después de tocar el botón DESCARGAR APLICACIÓN; sin embargo, solicita que los visitantes inicien sesión.
“No teníamos credenciales y los registros estaban cerrados. Lo más probable es que los operadores detrás de esta campaña solo abran el registro cuando esperan que una víctima específica visite el sitio, posiblemente a través de una dirección IP particular, geolocalización, una URL personalizada o dentro de un período de tiempo específico. Por lo tanto, creemos que las víctimas potenciales son altamente específicas.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Según el equipo de investigación la aplicación maliciosa nunca estuvo disponible en la tienda Google Play. Es una versión troyanizada de la aplicación de Android legítima OMEMO Instant Messenger (IM) pero tiene la marca BingeChat. OMEMO IM es una reconstrucción del cliente para Android Conversations.
