GravityRAT este capabil să exfiltrateze copiile de siguranță ale WhatsApp și să primească comenzi pentru ștergerea fișierelor. Aplicațiile malicioase oferă, de asemenea, funcționalitate de chat legitimă, bazată pe aplicația open-source OMEMO Instant Messenger.
GravityRAT este numele dat unui malware cross-platform, capabil să vizeze dispozitive Windows, Android și macOS. Firma slovacă de cibernetică urmărește activitatea sub numele de SpaceCobra.
Se crede că actorul de amenințare are baza în Pakistan, iar atacurile recente cu GravityRAT au vizat personal militar din India și din Forțele Aeriene ale Pakistanului, camuflându-se sub forma unor aplicații de stocare în cloud și de divertisment, așa cum a dezvăluit Meta în luna trecută.
Modul de Operare al Atacatorilor
Modus operandi sugerează că potențialele ținte sunt contactate pe Facebook și Instagram cu scopul de a le înșela să facă clic pe link-uri și să descarce aplicațiile malicioase.
GravityRAT, ca majoritatea backdoor-urilor Android, solicită permisiuni intruzive sub aparența unei aplicații aparent legitime pentru a colecta informații sensibile precum contacte, SMS-uri, jurnale de apeluri, fișiere, date de localizare și înregistrări audio fără cunoștința victimei.
Ceea ce face noua versiune a GravityRAT să iasă în evidență este abilitatea sa de a fura copii de siguranță ale WhatsApp și de a primi instrucțiuni de la serverul de comandă și control (C2) pentru ștergerea jurnalelor de apeluri, listelor de contacte și a fișierelor cu extensii specifice.
Alte Amenințări pentru Utilizatorii Android
În timp ce utilizatorii Android din Vietnam au fost victime ale unui nou tip de malware bancar cunoscut sub numele de HelloTeacher, care utilizează aplicații de mesagerie legitime precum Viber sau Kik pentru a fura date sensibile și pentru a efectua transferuri neautorizate de fonduri, a fost descoperită și o escrocherie legată de cloud mining care determină utilizatorii să descarce o aplicație malicioasă pentru a începe mineritul, pentru ca ulterior să profite de permisiunile sale de accesibilitate pentru a colecta informații sensibile din portofelele de criptomonede și aplicații bancare.
Avertisment pentru Utilizatori
Utilizatorii sunt sfătuiți să fie precauți și să evite să urmeze canalele de minerit de criptomonede suspecte pe platforme precum Telegram, deoarece acestea pot duce la pierderi financiare semnificative și compromiterea datelor personale sensibile.