GravityRAT est un malware Android qui a vu le jour en 2015. Il a fait son retour en août 2022 sous une nouvelle version toute fraîche. Son modus operandi s'exécute à travers une application de chat truquée nommée BingeChat qui est capable de voler des données des appareils mobiles.
L'ère de l'informatique moderne doit coexister avec celle d'une évolution des malwares toujours plus rapide. Les applications mobiles sont pour les hackers des entrées très faciles à cibler, notamment celles de messagerie instantanée. GravityRAT, un malware est revenu récemment sous une nouvelle variante et sa dangerosité réside dans le fait qu'il peut s'attaquer à l'historique des utilisateurs WhatsApp. Il peut voler les fichiers de sauvegarde de l'application qui contiennent des données sensibles et exemptes de chiffrement.
La cible principale de GravityRAT : Android
SpaceCobra est le nom de l'équipe d'opérateurs à l'origine de ce malware. Leur but est simple : mener des opérations de piratage ciblées sur les dispositifs Android. Le célèbre système d'exploitation mobile a fait déjà l'objet de nombreuses attaques dans le passé. SpaceCobra parvient donc à propager leur logiciel malveillant caché sous un nom qui trompe les utilisateurs : BingeChat. Cette application prétend être une messagerie instantanée entièrement chiffrée et qui dispose d'une protection des données intégrale. Mais il n'en est rien !
Des équipes de chercheurs en sécurité se sont confrontés à un problème majeur pour accéder à une copie du malware. Le téléchargement de l'application est accessible seulement à des utilisateurs ciblés et sur une URL unique, bingechat.net. Cette restriction d'accès met en difficulté les analystes pour qu'ils puissent décrypter le code source correctement.
Les capacités de GravityRAT
Une fois l'application trompeuse téléchargée et installée sur l'appareil ciblé, BingeChat demandera aux utilisateurs toutes les autorisations nécessaires classiques à une application de messagerie privée. Localisation, caméra et microphone, accès aux contacts ou aux journaux d'appel. Les utilisateurs se font souvent avoir, car nous sommes réellement habitués à donner ces autorisations (presque) sans y prêter attention.
Avant même que l'inscription sur l'application soit complète, elle envoie l'entièreté des données cédées par les utilisateurs aux serveurs de commande et de contrôle opérés à distance par l'équipe de hackers. BingeChat est également capable de se servir directement dans les fichiers média, les documents et l'intégralité des sauvegardes de WhatsApp, y compris les extensions cryptées correspondantes. Que faire pour se défendre face à ce genre de pratique ? Premièrement, éviter au maximum de se procurer des fichiers APK (Android Package Kit) à l'aide de sources externes à Google Play. Ensuite, rester vigilant quant aux autorisations demandées par les applications et s'assurer régulièrement que les updates des logiciels de sécurité smartphones sont à jour.
Son nom peut paraître mignon ou rigolo, mais GravityRAT et son nouvel alias BingeChat est un malware aux capacités sérieuses. Les applications ciblées par celui-ci, comme WhatsApp par exemple, contiennent des éléments très sensibles de votre vie privée. Se le faire voler est une compromission grave de votre sécurité en ligne et il est nécessaire de s'en prémunir.
Sources : BleepingComputer, ESET