Ce virus accède à WhatsApp, espionne et vole toutes les photos et vidéos, y compris sexuelles

L'équipe de recherche d'ESET, une société de détection proactive des menaces, a découvert une nouvelle version de GravityRAT, un malware spécialement conçu pour les appareils Android qui pourrait divulguer des photos et des vidéos d'utilisateurs, y compris du contenu sexuel.

Ce malware se propage via des applications de messagerie telles que BingeChat et Chatico ; cependant, il existe des variantes disponibles pour Windows, Android et macOS.

Actif depuis au moins 2015, le groupe SpaceCobra a maintenant étendu ses capacités pour voler les sauvegardes de WhatsApp Messenger et recevoir des commandes pour supprimer des fichiers. Cette campagne utilise des applications de messagerie comme leurre.

Comment ça fonctionne:

Après le lancement, l'application invite l' utilisateur à activer toutes les autorisations nécessaires pour fonctionner correctement. Hormis le consentement à la lecture des enregistrements d'appels, les autres autorisations demandées sont typiques de toute application de messagerie.

L' application propose des options pour créer un compte et se connecter. Avant que l'utilisateur n'ouvre son profil dans l'application, GravityRAT commence à interagir avec votre serveur C&C, en filtrant les données utilisateur de l'appareil et en attendant que les commandes soient exécutées.

Il est capable d'exfiltrer :

- Journaux d'appels

- Liste de contacts

- SMS

- Fichiers avec des extensions spécifiques : jpg, jpeg, log, png, PNG, jpg, jpeg, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, crypt32

- Emplacement de l'appareil

- Informations de base de l'appareil

Les données volées sont stockées dans des fichiers texte sur des supports externes, puis extraites sur le serveur et enfin supprimées. Ce sont des commandes très spécifiques que l'on ne voit normalement pas dans les logiciels malveillants Android et qui pourraient potentiellement mettre en jeu des éléments privés sur l'appareil.

Les anciennes versions de GravityRAT pour Android ne pouvaient pas recevoir de commandes ; ils ne pouvaient télécharger les données extraites que sur l'un de leurs serveurs à un moment donné.

Le groupe à l'origine de ce malware utilise le code de l'application de messagerie instantanée légitime appelée OMEMO pour fournir la fonctionnalité de chat dans les applications de messagerie malveillantes BingeChat et Chatico.

Probablement active depuis août 2022, selon les chercheurs la campagne BingeChat est toujours en cours, tandis que celle utilisée par Chatico n'est plus active. Basée sur le nom du fichier APK, l'application malveillante porte la marque BingeChat et prétend fournir une fonctionnalité de messagerie.

Ils ont constaté que le site Web distribuait un échantillon et ce que l'application malveillante devait télécharger après avoir effectué le processus, mais obligeait les visiteurs à se connecter, ils considèrent donc que les victimes potentielles sont très spécifiques.

Selon l'équipe de recherche, l' application malveillante n'a jamais été disponible sur le Google Play Store. Il s'agit d'une version malveillante de l'application Android légitime OMEMO Instant Messenger (IM), mais elle porte la marque BingeChat. OMEMO IM est une reconstruction du client pour Android Conversations.

Qu'est-ce que l'exfiltration de données :

C'est lorsque des informations confidentielles sont supprimées ou volées de manière non autorisée d'un système ou d'un appareil. Cela peut se produire de plusieurs façons, comme le vol de fichiers ou l'utilisation de logiciels malveillants. Il s'agit d'un problème grave car il met en péril la confidentialité et la sécurité des informations. Les cybercriminels le font souvent pour commettre une fraude ou un chantage.