Pengguna Android diminta berhati-hati terhadap malware GravityRAT. Pasalnya versi baru dari malware ini bisa mencuri backup data WhatsApp dan menghapus file di perangkat.

Backup data di WhatsApp membantu pengguna memindahkan riwayat pesan, file media, dan data lainnya ke perangkat baru. Jadi backup bisa berisi informasi sensitif seperti teks, video, foto, dokumen, dan lain-lain yang tidak terenkripsi.

GravityRAT sebenarnya sudah aktif setidaknya sejak tahun 2015, tapi baru mulai mengincar pengguna Android pada tahun 2020. Malware ini dioperasikan oleh ‘Space Cobra’ yang menggunakannya untuk mengincar target yang spesifik.

Spyware ini beredar menggunakan nama ‘BingeChat’, yang mengklaim sebagai aplikasi chat dengan enkripsi end-to-end serta memiliki tampilan yang sederhana dan fitur yang melimpah.

Menurut laporan peneliti keamanan siber dari ESET, aplikasi BingeChat didistribusikan lewat bingechat[.]net dan beberapa domain atau saluran distribusi lainnya. Tapi download aplikasi ini berbasis undangan dan mengharuskan pengguna memberikan kredensial yang valid atau mendaftarkan akun baru.

Menggunakan APK Android berbahaya untuk mengincar target merupakan taktik yang pernah dipakai operator malware GravityRAT sebelumnya. Pada tahun 2021 mereka menggunakan aplikasi chat bernama ‘SoSafe’, dan sebelumnya menggunakan aplikasi bernama ‘Travel Mate Pro’.

Setelah diinstal, BingeChat akan meminta sejumlah izin akses termasuk untuk kontak, lokasi, telepon, SMS, storage, log panggilan, kamera, dan mikrofon. Cukup standar untuk aplikasi chat jadi kemungkinan pengguna tidak langsung curiga.

Sebelum pengguna mendaftarkan akun baru di BingeChat, aplikasi ini akan mengirimkan log panggilan, daftar kontak, SMS, lokasi perangkat, dan informasi dasar perangkat ke server command and control (C2) yang dikendalikan oleh operator malware.

Selain itu, malware ini juga akan mencuri file jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, dan crypt32. File dengan ekstensi crypt menandakan backup data WhatsApp yang disebut sebelumnya, seperti dikutip dari Bleeping Computer, Sabtu (16/6/2023).

Selain mencuri data WhatsApp, malware GravityRAT juga bisa menerima tiga perintah dari C2, yaitu perintah untuk menghapus semua data (untuk ekstensi tertentu), menghapus semua kontak, dan menghapus semua log panggilan.

Saat ini kampanye malware GravityRAT lebih berfokus di India. Tapi semua pengguna Android harus berhati-hati dengan tidak mengunduh APK di luar Google Play Store dan meneliti izin akses yang diminta aplikasi.