Attention, utilisateurs d'Android ! La dernière variante du logiciel malveillant GravityRAT cible désormais les appareils Android et vole les sauvegardes des chats WhatsApp. Le Logiciel malveillant atteint les appareils en se faisant passer pour une application de chat. Encore une fois, cela met en évidence le caractère essentiel de ne télécharger que des applis connues à partir de sources de confiance.
Le logiciel malveillant Android GravityRAT vole les sauvegardes de WhatsApp
Selon un récent rapport d'ESET, une nouvelle variante du logiciel malveillant GravityRAT cible activement les appareils Android.
GravityRAT est un logiciel espion connu depuis 2015 comme un puissant cheval de Troie d'accès à distance ciblant les systèmes Windows, macOS et Android. Il a mené de nombreuses campagnes malveillantes avec différentes itérations, chacune portant des capacités malveillantes plus avancées.
La récente variante de GravityRAT cible les appareils Android et vole divers fichiers, notamment des sauvegardes WhatsApp. Pour atteindre cet objectif, les acteurs de la menace ont déployé “BingeChat,” – une prétendue application de chat. L'application propose de nombreuses fonctionnalités attrayantes, notamment le chiffrement de bout en bout, les chats vocaux, le partage de fichiers, une interface utilisateur facile et une disponibilité gratuite pour appâter les utilisateurs.
Pour attiser davantage la curiosité et ajouter un sentiment de légitimité à l'application, les acteurs de la menace ont limité le téléchargement de l'application à un mode “invitation seulement” avec des exigences d'enregistrement. Cela empêche apparemment l'analyse de l'application par des chercheurs potentiels et garantit une base de victimes ciblée.
Apparemment, l'application fonctionne normalement parce que les auteurs de la menace l'ont développée sur la messagerie Android open-source OMEMO IM. C'est ainsi qu'ils évitent d'alarmer les utilisateurs au sujet du logiciel malveillant GravityRAT intégré dans cette application trojanisée.
Après avoir été téléchargée et installée, l'application demande des autorisations risquées, que toute application de messagerie légitime demanderait. Il s'agit notamment de l'accès aux messages SMS, aux listes de contacts, aux journaux d'appels, à la localisation et aux détails de l'appareil. Une fois obtenue, l'application transmet toutes ces informations au C&C des attaquants.
Parallèlement à ces capacités, le nouveau malware GravityRAT caché dans l'appli BingeChat reçoit également des commandes concernant la suppression de fichiers, la suppression de journaux d'appels et la suppression de listes de contacts. De plus, il vole des fichiers avec diverses extensions, notamment les extensions crypt14, crypt12, crypt13 et crypt18 qui représentent souvent des sauvegardes chiffrées de chat WhatsApp.
SpaceCobra identifié comme un attaquant possible
Les chercheurs ont partagé une analyse technique détaillée de ce logiciel malveillant et de la campagne BingeChat dans leur rapport.
Pour l'instant, l'identité exacte des acteurs de la menace derrière ce logiciel malveillant reste inconnue. Mais ESET désigne le groupe “SpaceCobra” comme étant à l'origine de GravityRAT.
Alors que la récente campagne semble se poursuivre, on ne sait toujours pas comment les attaquants parviennent à atteindre leurs utilisateurs cibles potentiels. En effet, l'application n'existe pas sur le Google Play Store, ce qui suggère que les attaquants pourraient approcher leurs victimes potentielles par d'autres moyens, en les incitant à télécharger l'application depuis leur domaine.
Pourtant, la seule chose qui sauve toujours les utilisateurs de telles menaces est d'éviter de télécharger des applications et de cliquer sur des liens provenant de sources inconnues et non fiables.
Fais-nous part de tes réflexions dans les commentaires.
