Os dados armazenados em backups do WhatsApp nos celulares Android podem estar em risco se o dispositivo for infectado pelo malware GravityRAT. O arquivo ganhou a capacidade de extrair as informações em uma versão atualizada. A ESET divulgou hoje (15) detalhes desta campanha.
Segundo a empresa de segurança cibernética, o arquivo malicioso vem sendo distribuído em um app com o nome “BingeChat”, que exige convite para ser utilizado. Este suposto serviço de bate-papo com criptografia de ponta a ponta afirma possuir recursos avançados para atrair mais vítimas.
Após a instalação do mensageiro falso, o aplicativo exige uma série de permissões para funcionar, como acesso aos contatos, SMS, câmera, microfone, registros de chamadas e armazenamento interno. Aceitando todas as concessões, o usuário acaba facilitando a ação dos cibercriminosos.
Leia também: WhatsApp vai permitir usar mais de uma conta no mesmo celular
O app malicioso é distribuído fora da loja oficial do AndroidFonte: ESET/Reprodução
O GravityRAT começa a agir antes mesmo que a vítima conclua seu cadastro no BingeChat, enviando os dados coletados para um servidor remoto mantido pelos operadores, segundo o relatório. Ele também é capaz de roubar imagens de vários formatos, documentos, planilhas e arquivos com extensão crypt, que correspondem aos backups do WhatsApp.
Possibilidade de apagão
A capacidade de roubar arquivos de backup do WhatsApp no Android, que podem conter informações sigilosas, além de dificultar a transferência do histórico de mensagens para um novo dispositivo, não é a única função deste app malicioso. O malware também possui o recurso de exclusão de arquivos.
O grupo SpaceCobra, que opera o GravityRAT, pode enviar comandos remotamente para excluir todos os arquivos de uma extensão específica, apagar todos os contatos e remover todos os registros de chamadas do celular em que estiver instalado. Assim, causa um “apagão” no telefone.
Conforme os pesquisadores que descobriram a campanha, ela está em andamento desde agosto do ano passado e tem como alvo dispositivos na Índia, principalmente. A melhor forma de se proteger das ações do malware é evitar o download de APKs, que são distribuídos fora da Google Play Store, além de ter cautela com as permissões dadas aos apps.
Fontes