Allarme GravityRAT: il malware ruba i backup di WhatsApp

Online si sta diffondendo rapidamente l’ultima versione di GravityRAT, malware Android individuato attivo dal 2020 su tale sistema operativo.

Questo agente malevolo, sfrutta un’app di messaggistica, chiamata BingeChat, per agire come un trojan e rubare dati dai dispositivi delle vittime. Stando a quanto riportato da Lukas Stefanko, ricercatore di ESET, e a MalwareHunterTeam, il principale obiettivo di GravityRAT sono i backup delle chat di WhatsApp.

Queste copie di riserva vengono generate dalla nota app di messaggistica per conservare messaggi e file multimediali in previsione di un potenziale ripristino o di un cambiamento di smartphone. A rendere particolare infido questo tipo di attacco è proprio il contenuto dei suddetti backup. Si tratta, infatti, di testo, video e foto di carattere spesso molto personale.

GravityRAT ruba alle vittime un’ampia gamma di file

BingeChat si presenta come un’app legittima, ma che riesce al contempo sia a diffondere il malware che a rendere molto difficile la rimozione di GravityRAT.

Il modus operandi dei criminali informatici dietro al malware è sempre lo stesso, a cambiare è solo l’app utilizzata per la diffusione: prima di BingeChat, infatti, veniva utilizzato un software simile chiamato SoSafe e prima ancora un’app nota come Travel Mate Pro.

Al momento dell’installazione l’attuale app richiede ampie autorizzazioni, come l’accesso a contatti, posizione, numero di telefono, SMS, microfono e quant’altro. Si tratta di autorizzazioni standard per le app di messaggistica istantanea, quindi è improbabile che sollevino sospetti o appaiano anomale alla vittima.

Una volta che il software ottiene tali permessi, però, comincia immediatamente il suo lavoro. In tal senso, i file presi di mira sono molteplici. Si spazia dalle immagini (JPG, PNG, JPEG) ai documenti (PDF, DOC, DOCX) fino ai fogli di calcolo. Il tutto, ovviamente, all’insaputa della vittima.

Un’altra novità di GravityRAT è la sua capacità di ricevere tre comandi dal C2, vale a dire “cancella tutti i file” (di un’estensione specificata), “cancella tutti i contatti” e “cancella tutti i registri delle chiamate“. Come è facile capire, ciò si traduce nella potenziale perdita di dati importanti per la vittima.

Per ridurre al minimo i rischi legati a questo temibile malware, la precauzione più importante prevede di evitare file APK di dubbia provenienza o comunque il download di app da store non affidabili.