Un grupo de piratas informáticos conocido como SpaceCobra desarrolló una aplicación de mensajería instantánea que también puede robar mucha información confidencial del dispositivo objetivo. El actor de amenazas parece saber exactamente a quién quiere apuntar, ya que descargar la aplicación ha demostrado ser todo un desafío para los investigadores.
Los investigadores de seguridad cibernética de ESET descubrieron recientemente que dos aplicaciones de mensajería, llamadas BingeChat y Chatico, en realidad estaban sirviendo a GravityRAT, un troyano de acceso remoto. Esta RAT fue capaz de extraer mucha información confidencial de los puntos finales comprometidos, incluidos registros de llamadas, lista de contactos, mensajes SMS, ubicación del dispositivo, información básica del dispositivo y archivos con extensiones específicas para imágenes, fotos y documentos.
Sin presencia en la tienda de aplicaciones
Lo que hace que estas dos aplicaciones se destaquen de otras que ofrecen GravityRAT, es que también pueden robar copias de seguridad de WhatsApp y recibir comandos para eliminar archivos.
La forma en que se distribuye el malware hace que esta campaña sea aún más única. Las aplicaciones no se pueden encontrar en las tiendas de aplicaciones y nunca se cargaron en Google Play, por ejemplo. En cambio, solo se pueden descargar visitando un sitio web especialmente diseñado y abriendo una cuenta. Puede que esto no suene como algo especial, pero los investigadores de ESET no pudieron abrir una cuenta ya que los registros estaban «cerrados» cuando visitaron. Esto los llevó a concluir que el grupo fue muy preciso con su orientación, posiblemente buscando una ubicación o dirección IP específicas.
“Lo más probable es que los operadores solo abran el registro cuando esperan que una víctima específica los visite, posiblemente con una dirección IP particular, geolocalización, URL personalizada o dentro de un marco de tiempo específico”, dice el investigador de ESET Lukáš Štefanko. “Aunque no pudimos descargar la aplicación BingeChat a través del sitio web, pudimos encontrar una URL de distribución en VirusTotal”, agrega.
Dicho esto, la mayoría de las víctimas parecen residir en India. Los atacantes, SpaceCobra, aparentemente son de origen pakistaní. Lo más probable es que la campaña esté activa desde agosto del año pasado, y una de las dos (BingeChat) sigue activa, dijeron los investigadores. La aplicación maliciosa, basada en la aplicación OMEMO Instant Messenger de código abierto, está disponible para Windows, macOS y Android.