Android, attenti a questa app di messaggistica fake: nascondeva un trojan
Si chiamava SoSafe Chat e si promuoveva all’utente come una piattaforma di messaggistica sicura protetta da crittografia end-to-end. Peccato che in realtà celasse al suo interno GravityRAT, un Remote Access Trojan (RAT) che dà la possibilità a un malintenzionato di accedere a dati estremamente sensibili dell’utente fra quelli gestiti sullo smartphone.
GravityRAT era stato avvistato su mobile già nel 2020 all’interno di Travel Mate Pro, tuttavia considerando il rallentamento del settore dei viaggi per via del periodo di pandemia, il team di sviluppo si è spostato verso altri settori. La nuova maschera è proprio SoSafe Chat, proposta attraverso un sito web che ad oggi non è più visitabile prevalentemente sul mercato indiano. Non sappiamo quale sia stato il metodo usato per la distribuzione dell’app, ma è probabile che gli attori abbiano portato traffico sul sito attraverso malvertising, post sui social media e messaggi diretti rivolti a potenziali utenti interessati al servizio.
GravityRAT si cela in un’app di messaggistica apparentemente sicura
Una volta installata l’app sul sistema, lo spyware integrato avrebbe potuto compiere diverse operazioni malevole, come ad esempio l’esfiltrazione di dati, il monitoraggio di diversi tipi di attività sullo smartphone come anche la sua posizione nel tempo. Il team avrebbe inoltre avuto accesso agli SMS, ai Contatti, ai log delle conversazioni, alle informazioni sulla rete cellulare collegata, fra cui numero di telefono e numero seriale del dispositivo usato. Non solo, chi guadagna l’accesso remoto allo smartphone con GravityRAT può anche modificare le impostazioni di sistema, leggere o scrivere sull’unità di archiviazione esterna installata (se presente) e registrare audio attraverso il microfono.
Come riportato da Cyble, l’applicazione richiedeva l’accesso a diverse funzioni fondamentali dello smartphone, come del resto quasi scontato per un’app di messaggistica. Rispetto alla versione diffusa nel 2020, GravityRAT ha introdotto la possibilità di registrare audio e di accedere a funzioni specifiche delle tecnologie mobile (come la possibilità di accedere a una posizione stimata dello smartphone e l’esfiltrazione di dati della rete cellulare connessa). In precedenza il trojan prendeva di mira solo sistemi Windows, ma dal 2020 GravityRAT è ormai una realtà anche su smartphone e – considerando le ultime attività svelate dalla fonte – il team alla sua base sta ancora continuando a svilupparlo e sfruttarlo attivamente.
Fonte: http://feeds.hwupgrade.it/