Os dados do backup do WhatsApp estão sendo roubados por um malware chamado "GravityRAT". A informação veio através do site BleepingComputer, onde é dito que desde agosto de 2022 o malware vem infectando celulares e tablets através do aplicativo de mensagens 'BingeChat' para coletar dados. A versão mais recente do GravityRAT é capaz de roubar arquivos do backup do WhatsApp, segundo Lukas Stefanko, pesquisador da ESET, uma empresa de segurança responsável pelo desenvolvimento do antivírus ESET NOD32.

Malware para Android é capaz de roubar seus dados do WhatsApp

WhatsApp para Android tem dados de backup roubados por malware chamado GravityRAT. Fonte: Oficina da Net
WhatsApp para Android tem dados de backup roubados por malware chamado GravityRAT. Fonte: Oficina da Net

Detectado pela primeira vez em dispositivos Android em 2020, o GravityRAT é controlado pelo grupo chamado "SpaceCobra". Atualmente, o malware está sendo distribuído através do aplicativo chamado 'BingeChat', que diz ser um app de mensagens instantâneas que conta com criptografia de ponta a ponta e uma interface limpa.

De acordo com a publicação no site welivesecurity da ESET, Lucas Stefanko diz que o aplicativo é baixado através do endereço "bingechat[.]net" e provavelmente outros sites e canais de distribuição. Entretanto, o download do 'BingeChat" é baseado em convite e exige que o visitante insira dados validos ou registrem uma nova conta. Mesmo que o registro esteja fechado atualmente, esse método permite que a distribuição ocorra apenas para pessoas visadas, tornando difícil o trabalho dos pesquisadores de segurança, que tentam obter uma cópia para análise.

Captura de tela do site bingechat. Fonte: BleepingComputer
Captura de tela do site bingechat. Fonte: BleepingComputer

O grupo 'SpaceCobra' utilizaram a tática de oferta de APKs Android em 2021 com o app de mensagens 'SoSafe'. Antes disso, os operadores do GravityRAT estavam utilizando o 'Travel Mate Pro'. Segundo Lucas, estes aplicativos são uma versão "trojanizada" do "OMEMO IM", um app de código que é legítimo.

Após uma pesquisa mais a fundo, Lucas descobriu que o "SpaceCobra" utilizou o "OMEMO IM" como base para outro app falso chamado "Chatico", que foi distribuído em 2022 através do endereço "chatico.co[.]uk", que agora está offline.

Estratégia do grupo
Estratégia do grupo 'SpaceCobra' para distribuir o malware GravityRAT em dispositivos Android. Fonte: ESET

Do que o GravityRAT é capaz

Ao baixar o aplicativo BingeChat, o usuário recebe solicitações de permissões, incluindo o acesso a contatos, localização, telefone, SMS, armazenamento, registro de chamadas, câmera e microfone. Estas permissões são padrão para apps de mensagens instantâneas, então até este momento é difícil levantar alguma suspeita.

Antes mesmo do usuário registrar uma conta no BingeChat, o app envia registros de chamadas, listas de contatos, mensagens SMS, localização do dispositivo, entre outros dados básicos para o servidor de comando e controle do agente da ameaça. Além disso, arquivos de mídia e documentos nos formatos jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18 e crypt32 também são roubados. Os formatos crypt são os backups do WhatsApp.

Extração de dados feita pelo malware GravityRAT em um dispositivo Android. Fonte: ESET
Extração de dados feita pelo malware GravityRAT em um dispositivo Android. Fonte: ESET

Outro recurso que o malware GravityRAT possui é o de receber três comandos de seus controladores ('SpaceCobra'): o "excluir todos os arquivos" (de uma extensão especificada), "excluir todos os contatos" e o "excluir todos os registros de chamadas".

O que fazer para evitar a infecção do celular ou tablet Android?

Hoje o grupo SpaceCbora visa a Índia. Porém, é recomendado que todos os usuários de dispositivos Android evitem baixar APKs fora da Play Store.

Você precisa ver