Peligro en WhatsApp: un virus sorprendente accede, espía y roba todas las fotos y videos

El equipo de investigación de ESET, una empresa especializada en la detección temprana de amenazas, descubrió una nueva variante de GravityRAT, un malware diseñado específicamente para dispositivos Android que puede filtrar fotos y videos del usuario, incluso contenido de naturaleza sexual.

Este malware se propaga a través de aplicaciones de mensajería como BingeChat y Chatico. Sin embargo, también existen versiones disponibles para Windows, Android y macOS. 

El grupo SpaceCobra, que ha estado activo desde al menos 2015, ha ampliado recientemente las capacidades de este malware para robar copias de seguridad de WhatsApp Messenger y recibir comandos para eliminar archivos. Esta campaña utiliza aplicaciones de mensajería como cebo.

El funcionamiento de GravityRAT es el siguiente:

Después de instalarse, la aplicación solicita al usuario que conceda todos los permisos necesarios para su correcto funcionamiento. 

A excepción del permiso para leer los registros de llamadas, las demás autorizaciones solicitadas son comunes en aplicaciones de mensajería. La aplicación ofrece la opción de crear una cuenta e iniciar sesión. 

Antes de que el usuario acceda a su perfil en la aplicación, GravityRAT establece comunicación con su servidor de comando y control (C&C), filtra los datos del usuario almacenados en el dispositivo y espera a que se ejecuten los comandos correspondientes.

GravityRAT tiene la capacidad de extraer la siguiente información:

• Registros de llamadas

• Lista de contactos

• Mensajes SMS

• Archivos con las siguientes extensiones: jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32

• Ubicación del dispositivo

• Información básica del dispositivo

Los datos que se roban

Los datos que se roban se almacenan en archivos de texto en medios externos, luego se extraen al servidor y finalmente se eliminan. Estos comandos específicos no son comunes en el malware para Android y pueden comprometer elementos privados del dispositivo. 

En versiones anteriores de GravityRAT para Android, no se podían recibir comandos; solo se podían cargar datos extraídos a uno de sus servidores en un momento determinado. El grupo responsable de este malware utiliza el código de la aplicación de mensajería instantánea legítima llamada OMEMO para habilitar la función de chat en las aplicaciones de mensajería maliciosas BingeChat y Chatico.

Según los investigadores, la campaña de BingeChat sigue en curso, pero la que utiliza Chatico ya no está activa. La aplicación maliciosa lleva el nombre de BingeChat en su archivo APK y pretende ofrecer funcionalidad de mensajería.

Descubrieron que el sitio web ha estado distribuyendo una muestra de la aplicación maliciosa y que se debe descargar después de completar el proceso, pero solicita a los visitantes que inicien sesión, lo que indica que las posibles víctimas son muy específicas. 

Según el equipo de investigación, la aplicación maliciosa nunca estuvo disponible en la tienda Google Play. Es una versión maliciosa de la aplicación legítima de Android llamada OMEMO Instant Messenger (IM) pero con la marca BingeChat. OMEMO IM es una reconstrucción del cliente para Android Conversations.

La exfiltración de datos se refiere al acto de sacar o robar información confidencial de un sistema o dispositivo de forma no autorizada. Esto puede ocurrir de varias maneras, como el robo de archivos o el uso de software malicioso. 

Es un problema grave porque compromete la privacidad y la seguridad de la información. Los ciberdelincuentes suelen realizar esta actividad para cometer fraudes o chantajes.