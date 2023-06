A luta do malware no universo Android parece não ter fim. Uma nova campanha foi agora revelada e usa o já bem conhecido GravityRAT, que no passado causou bastantes estragos. Agora tem uma nova ação e parece dedicado a roubar os backups do WhatsApp nos smartphones Android.

O GravityRAT é um malware bem conhecido e que tem sido usado no passado em várias campanhas. Estas são usadas de forma muito cirúrgica e dedicadas a roubar dados específicos dos utilizadores. A nova campanha, do que foi relatado, está ativa desde agosto de 2022.

A forma que este malware está agra a agir é já também conhecida. Faz uso de uma app de comunicação, que faz uso desta ameaça e consegue roubar dados dos smartphones das vítimas. O nome usado para esta app é BingeChat e mascara funções que não anuncia aos utilizadores, por razões óbvias.

A investigação sobre esta nova forma de ataque surgiu depois de ser partilhada uma amostra de um novo ataque do GravityRAT. A grande diferença desta vez, face ao passado, é que este parece dedicar-se agora ao roubo dos backups do WhatsApp. É distribuído no endereço "bingechat[.]net" e possivelmente em outros domínios ou canais de distribuição.

Após instalado, o BingeChat pede permissões elevadas, incluindo acesso a contatos, localização, telefone, SMS, armazenamento, registos de chamadas, câmara e microfone. DE imediato estes dados começam a ser enviados para o servidor de comando e controlo (C2) do agente da ameaça.

Além disso, arquivos com extensões jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18 e tipos crypt32, também são roubados. No caso dos backups do WhatsApp temos aqui presente a extensão crypt.

Não se sabe ainda ao certo o que é feito com estes dados, mas certamente que os dados vão ser usados para roubar as vítimas. Naturalmente que a instalação de apps fora da Play Store é desaconselhada e aqui mostra ser a porta de entrada para este malware no Android.