Un grupo de ciberatacantes puso en el punto de mira de su actividad las copias de seguridad de WhatsApp, a las que acceden con una versión del programa espía GravityRAT para Android a través de apps de mensajería como BingeChat y Chatico.
Una de las opciones más utilizadas por los usuarios de WhatsApp para no perder ni un solo mensaje, foto o vídeo de sus chats es recurrir a las copias de seguridad dentro de la propia app.
Sin embargo, ahora están peligro en Android por culpa del malware conocido bajo el nombre de GravityRAT.
Este virus en particular es un viejo conocido que está en activo desde al menos 2015, según los expertos en ciberseguridad.
Aunque, el principal problema ahora mismo está en que comenzó a llevar a cabo el robo de copias de seguridad de WhatsApp.
Esta nueva función del virus está integrada en la última versión que llevaron a cabo sus desarrolladores, conocidos bajo el nombre de ‘SpaceCobra’.
Desde la última campaña de este malware, que comenzó en agosto de 2022 a través de una app de chat ‘BingeChat‘, se vió como intentó robar datos de los dispositivos Android de las víctimas.
Aunque, el problema más grave ahora mismo es que las copias de seguridad de WhatsApp corren peligro.
Queda claro que este tipo de respaldos de seguridad son de gran ayuda a los usuarios para no perder sus datos.
Al igual que también sirve para transferir sus mensajes o archivos multimedia a otros nuevos smartphones.
Pues bien, GravityRAT, dirigido por SpaceCobra, ahora también se dedica a usar una nueva función para lograr robar estos datos de respaldo de los dispositivos Android que infectó.
El grupo detrás del malware sigue siendo desconocido, aunque los investigadores de Facebook atribuyen GravityRAT a un grupo con sede en Pakistán, como se especuló anteriormente por Cisco Talos.
ESET rastrea el grupo bajo el nombre de SpaceCobra, y atribuye a este grupo tanto las campañas de BingeChat como las de Chatico.
Como parte de la funcionalidad legítima de la aplicación, ofrece opciones para crear una cuenta e iniciar sesión.
Antes de que el usuario inicie sesión en la aplicación, GravityRAT comienza a interactuar con su servidor de C&C, exfiltrando los datos del usuario del dispositivo y esperando a que se ejecuten los comandos.
GravityRAT es capaz de exfiltrar registros de llamadas, lista de contactos, mensajes SMS, ubicación del dispositivo, información básica del dispositivo y archivos con extensiones específicas para imágenes, fotos y documentos.
Esta versión de GravityRAT tiene dos pequeñas actualizaciones en comparación con versiones anteriores de GravityRAT conocidas públicamente: la exfiltración de copias de seguridad de WhatsApp y la recepción de comandos para eliminar archivos.