Non sono passati molti giorni dalla segnalazione di 60.000 app Android infette da adware, e già sta risuonando l’allarme del robottino verde a causa del ritorno di GravityRAT. Il malware in questione è stato scoperto in una nuova versione da Lukas Stefanko di ESET, il quale ha analizzato un campione contenuto all’interno dell’app di messaggistica BingeChat. A quanto pare, tramite quest’ultima il virus riesce a rubare tutti i file di backup di WhatsApp, accedendo ai dati sensibili delle ignare vittime.
Il ritorno di GravityRAT su Android
Secondo quanto segnalato dall’esperto di cybersicurezza, l’app BingeChat si spaccia per un servizio di chat crittografato end-to-end con interfaccia basilare ma feature avanzate. Essa viene fornita prevalentemente tramite il sito ufficiale e altri canali di distribuzione di terze parti, ma il download resta basato su un sistema a invito. In questo modo, le app dannose finiscono sui sistemi di persone mirate impedendo ai ricercatori di analizzare il pacchetto.
Fortunatamente, Stefanko è riuscito ad accedere a BingeChat, scoprendo che si tratta di una versione trojanizzata di OMEMO IM, una legittima app di messaggistica istantanea open source per Android.
Il suo utilizzo richiede autorizzazioni come l’accesso a contatti, posizione, telefono, SMS, archiviazione, registri delle chiamate, fotocamera e microfono, apparentemente rischiose ma in realtà normali per un servizio di messaggistica istantanea. Una volta installata l’app BingeChat, GravityRAT si attiva immediatamente inviando registri delle chiamate, elenchi di contatti, messaggi SMS, posizione del dispositivo e informazioni di base sul dispositivo al server di comando e controllo dei malintenzionati.
Qualsiasi file e documento JPG, PNG, TXT, PDF, DOC, PPT, DOCX e anche Crypt32 viene quindi rubato, in quanto potenzialmente contiene dati sensibili d’interesse dei cybercriminali. Queste estensioni riguardano nella maggior parte dei casi backup di WhatsApp Messenger, che poi il malware può persino cancellare. Ebbene sì, perché GravityRAT può ricevere comandi per cancellare tutti i contatti, tutti i registri delle chiamate e tutti i file con un’estensione specifica.
Al momento della scrittura della notizia GravityRAT non sembra particolarmente diffuso in Europa, ma il consiglio resta comunque valido: evitate di scaricare file APK al di fuori di Google Play, e affidatevi a fonti verificate per il download di qualsiasi app.