Un nuovo malware è stato scovato dai ricercatori ESET e potrebbe mettere a rischio i backup di WhatsApp e altri dati personali. Si tratta più precisamente di una nuova versione dello spyware GravityRAT per Android, che viene distribuito in una variante malevola di app legittime di messaggistica. Scopriamo i dettagli.
GravityRAT è tornato e punta ai backup di WhatsApp
I ricercatori ESET hanno scoperto una versione aggiornata dello spyware GravityRAT, distribuito come app di messaggistica BingeChat e Chatico. GravityRAT è uno strumento di accesso remoto già sfruttato in precedenza per attacchi mirati, soprattutto in India e sui sistemi operativi Android, Windows e macOS. Risulta riconducibile al gruppo pakistano SpaceCobra, anche se non ci sono indicazioni precise. Nella “rinnovata” campagna appena scoperta, GravityRAT è in grado di estrarre i backup di WhatsApp e ricevere comandi per eliminare i file, il tutto nascondendosi dietro ad app legittime basate sull’app open source OMEMO Instant Messenger. A rischio anche altri dati come registri delle chiamate, elenco dei contatti, messaggi SMS, posizione del dispositivo, informazioni di base su quest’ultimo e file con estensioni specifiche (immagini, foto, documenti).
Fortunatamente per gli utenti italiani, i malintenzionati sembrano concentrarsi soprattutto sugli utenti indiani, ma è bene fare comunque attenzione. In più l’app non è scaricabile dal Google Play Store o da altri negozi virtuali, ma viene distribuita attraverso un sito web e una registrazione. Come spiegato da Lukáš Štefanko di ESET, i ricercatori non sono riusciti ad eseguire il login, visto che il sito in questione richiede delle credenziali e riporta l’indicazione di “registrazioni chiuse“: questo suggerisce che il malware punti a vittime relativamente specifiche, possibilmente con determinati indirizzi IP, una certa posizione geografica, attraverso URL personalizzati o comunque entro un periodo di tempo preciso. In ogni caso sono riusciti a scaricare l’app attraverso un URL di distribuzione su VirusTotal.
Questa volta proteggersi è piuttosto semplice: basta non complicarsi la vita andando a installare applicazioni di dubbia provenienza e utilità da siti web sconosciuti. Nonostante qualcosa riesca a sfuggire anche al Play Protect del Google Play Store, conviene sempre affidarsi a quest’ultimo per il download e l’installazione di app per Android. Per maggiori dettagli su GravityRAT e per approfondire vi consigliamo di dare uno sguardo a questo link.
Leggi anche: Lo stesso account WhatsApp su più dispositivi: come collegare e usare il multi-dispositivo