In un comunicato stampa, ESET ha rivelato le attività di un gruppo di hacker che attaccano i backup di WhatsApp utilizzando altre applicazioni di messaggistica.
I ricercatori di ESET hanno scoperto le attività di un gruppo di hacker chiamato SpaceCobra, che ha messo in circolazione applicazioni di messaggistica con l’obiettivo di rubare i dati contenuti nei backup di WhatsApp delle loro vittime. Queste versioni “rielaborate” di un’applicazione di messaggistica open source contengono in realtà una variante di GravityRAT, un Trojan ad accesso remoto. Vengono distribuite sul web e gli hacker le spacciano per app Android legittime.
Secondo ESET, le due applicazioni Android contenenti GravityRAT si chiamano BingeChat e Chatico. Questo malware è salito alla ribalta nel 2018, quando è stato utilizzato per colpire l’esercito indiano. Una delle caratteristiche di questo malware è che può rimanere inattivo per molto tempo prima di rubare dati o fare screenshot. Oltre a esfiltrare i registri delle chiamate, l’elenco dei contatti, i messaggi SMS e la posizione del dispositivo, lo spyware viene utilizzato anche per rubare i backup di WhatsApp e può anche ricevere comandi per eliminare i file.
Secondo la società di sicurezza, SpaceCobra prende di mira alcuni utenti in particolare, o anche uno solo. Secondo ESET, “l’applicazione BingeChat viene distribuita tramite un sito web che richiede la registrazione, probabilmente aperto solo quando gli aggressori si aspettano che specifiche vittime lo visitino, possibilmente con un particolare indirizzo IP, geolocalizzazione, URL personalizzato o in un arco di tempo specifico. In tutti i casi, la campagna è altamente mirata”.
Non si sa esattamente chi siano i membri di SpaceCobra, ma tutto lascia pensare che siano cittadini pakistani. Naturalmente, questa applicazione dannosa non è disponibile nel Google Play Store, il che è una buona cosa, perché gli esperti raccomandano di non scaricare applicazioni o software da fonti non verificate.