SpaceCobra, un grupo de ciberdelincuentes reconocido a nivel global, ha fijado su atención en las copias de seguridad de WhatsApp, valiéndose del spyware GravityRAT para llevar a cabo sus operaciones maliciosas. Este descubrimiento ha generado una preocupación considerable en el ámbito de la seguridad tecnológica, ya que plantea graves amenazas a la privacidad y la integridad de los usuarios de WhatsApp en todo el mundo.
GravityRAT es un malware avanzado y sofisticado que ha sido utilizado por diversos grupos de hackers malintencionados. Su objetivo principal es infiltrarse en dispositivos y acceder de forma no autorizada a información confidencial almacenada en ellos. En este caso, el grupo SpaceCobra ha empleado esta peligrosa herramienta para acceder a las copias de seguridad de WhatsApp, lo que representa una importante vulnerabilidad para los usuarios de esta popular plataforma de mensajería.
La creciente amenaza planteada por SpaceCobra y el uso del spyware GravityRAT subrayan la importancia de mantener un alto nivel de seguridad en los dispositivos utilizados para acceder a servicios en línea y aplicaciones móviles. Se insta encarecidamente a los usuarios de WhatsApp y otros servicios similares a tomar medidas preventivas para proteger su información personal y mantenerse informados acerca de las últimas amenazas cibernéticas.
Los investigadores de ESET han identificado una versión actualizada del spyware GravityRAT basado en Android que se distribuye como las aplicaciones de mensajería BingeChat y Chatico. GravityRAT es una herramienta de acceso remoto utilizada anteriormente en ataques dirigidos contra usuarios de la India. Hay versiones disponibles para Windows, Android y macOS. El actor detrás de GravityRAT sigue siendo desconocido, mientras que ESET Research rastrea activamente al grupo conocido como SpaceCobra. Probablemente activa desde agosto de 2022, la campaña BingeChat sigue en curso. En la campaña recién descubierta, GravityRAT puede filtrar copias de seguridad de WhatsApp y recibir comandos para eliminar archivos. Las aplicaciones maliciosas también ofrecen funciones legítimas de chat basadas en la aplicación de código abierto OMEMO Instant Messenger.
Al igual que en las campañas de SpaceCobra documentadas anteriormente, la campaña de Chatico iba dirigida a usuarios de la India. La aplicación BingeChat se distribuye a través de una web que requiere registro, probablemente abierto sólo cuando los atacantes esperan que determinadas víctimas lo visiten, posiblemente con una dirección IP concreta, geolocalización, URL personalizada o en un plazo de tiempo específico. En cualquier caso, es muy probable que la campaña esté muy dirigida.
“Encontramos una web que debería proporcionar la aplicación maliciosa tras pulsar el botón DESCARGAR APP; sin embargo, requiere que los visitantes inicien sesión. No teníamos credenciales y los registros estaban cerrados. Lo más probable es que los delincuentes sólo abran el registro cuando esperan la visita de una víctima concreta, posiblemente con una dirección IP, una geolocalización, una URL personalizada o en un plazo de tiempo específico”, declara el investigador de ESET Lukáš Štefanko, quién investigó las aplicaciones maliciosas. “Aunque no pudimos descargar la aplicación BingeChat a través de la web, pudimos encontrar una URL de distribución en VirusTotal”, añade. La aplicación maliciosa nunca ha estado disponible en la tienda Google Play.
ESET Research desconoce cómo las víctimas potenciales fueron atraídas o descubrieron el sitio web malicioso. Teniendo en cuenta que la descarga de la aplicación está condicionada a tener una cuenta y que no fue posible registrar un nuevo usuario durante la investigación, ESET cree que las víctimas potenciales fueron atacadas de forma específica.
El grupo detrás del malware sigue siendo desconocido, aunque los investigadores de Facebook atribuyen GravityRAT a un grupo con sede en Pakistán, como se especuló anteriormente por Cisco Talos. ESET rastrea el grupo bajo el nombre de SpaceCobra, y atribuye a este grupo tanto las campañas de BingeChat como las de Chatico.
Como parte de la funcionalidad legítima de la aplicación, ofrece opciones para crear una cuenta e iniciar sesión. Antes de que el usuario inicie sesión en la aplicación, GravityRAT comienza a interactuar con su servidor de C&C, exfiltrando los datos del usuario del dispositivo y esperando a que se ejecuten los comandos. GravityRAT es capaz de exfiltrar registros de llamadas, lista de contactos, mensajes SMS, ubicación del dispositivo, información básica del dispositivo y archivos con extensiones específicas para imágenes, fotos y documentos. Esta versión de GravityRAT tiene dos pequeñas actualizaciones en comparación con versiones anteriores de GravityRAT conocidas públicamente: la exfiltración de copias de seguridad de WhatsApp y la recepción de comandos para eliminar archivos.
Expertos en seguridad tecnológica han recomendado una serie de medidas preventivas para mitigar los riesgos asociados con este tipo de ataques. Algunas de estas medidas incluyen:
- Mantener el sistema operativo y las aplicaciones actualizadas con los últimos parches de seguridad.
- Utilizar contraseñas sólidas y únicas para las cuentas en línea, cambiándolas periódicamente.
- Evitar hacer clic en enlaces sospechosos o descargar archivos adjuntos de fuentes no confiables.
- Instalar y mantener actualizado un software antivirus confiable en todos los dispositivos.
- Realizar copias de seguridad periódicas de los datos importantes en dispositivos de almacenamiento externos o en la nube.
Es fundamental que los usuarios de WhatsApp estén conscientes de las amenazas cibernéticas y tomen las precauciones necesarias para proteger su información personal. Las autoridades de seguridad cibernética y los proveedores de servicios en línea están trabajando arduamente para abordar esta situación y salvaguardar la privacidad de los usuarios.
En Frikipandi, nos comprometemos a mantener informados a nuestros lectores sobre las últimas tendencias y amenazas en el ámbito de la tecnología. Manténganse al tanto de nuestras actualizaciones para obtener más información sobre la seguridad en línea y las mejores prácticas para proteger su información personal.
. Leer artículo completo en Frikipandi Las Copias de Seguridad de WhatsApp, un Objetivo Prioritario para SpaceCobra y su Uso del Spyware GravityRAT.Entradas recientes para Las Copias de Seguridad de WhatsApp, un Objetivo Prioritario para SpaceCobra y su Uso del Spyware GravityRAT
- GTA 6 esperamos el segundo tráiler de Rockstar Games, especulaciones y sorpresas del juego
- Path of Exile 2 desvela el contenido de acceso anticipado en el GGG Live y lanza los Paquetes de colaborador
- Ofertas Black Friday Xbox: muestra tu espíritu navideño con Xbox
- Hela, de los creadores de Unravel, ha desvelado un nuevo y relajante tráiler que crea el ambiente para esta acogedora aventura
- El próximo RPP de Diablo IV llega pronto - Detalles del parche 2.1