L’applicazione di messaggistica SoSafe ha sempre dichiarato totale sicurezza e trasparenza in fatto di privacy, proprio grazia alla crittografia end-to-end nel programma, molto simile a quella che possiamo trovare su Whatsapp. Ma in realtà, dietro a questa funzione, si nascondeva un RAT.
Non sono poi così lontani i tempi in cui vedevamo questa app nel nostro playstore. Si chiamava SoSafe Chat per chi non lo sapesse, e si mostrava all’utente come una normalissima applicazione di messaggistica, sicura e trasparente, protetta da crittografia end-to-end come quella che possiamo trovare su Whatsapp. Ebbene, tutte frottole. All’interno dell’app si nascondeva GravityRAT, un Remote Access Trojan (RAT) che dava la possibilità a un qualsiasi ladro di accedere a dati sensibili e privatissimi dell’utente fra quelli gestiti sullo smartphone, come carte di credit, pagamenti, app della banca e cartella clinica.
LEGGI ANCHE: Allarme per 10 milioni di smartphone, 200 App truffa infettate da un virus GriftHorse
GravityRAT è famoso per celarsi dietro false app. Era già stato avvistato su mobile nel 2020 dietro le quinte di Travel Mate Pro, ma la pandemia gli ha in qualche modo remato contro, dato che le app inerenti non veniva più usate così regolarmente, quindi ha dovuto cambiare vittima. Un po’ come una sanguisuga che vive alle spalle del portatore. La nuova facciata usata è proprio SoSafe Chat, collegata ad un sito web che, tutt’ora, risulta introvabile. Ad oggi non si sa ancora con quale metodo sia stata effettuata la distribuzione della cosiddetta applicazione fasulla, ma la strada più probabile è quella del malvertising, post sui social media e messaggi diretti rivolti a utenti che potrebbe essere stati interessati al servizio.
GravityRAT si cela dietro un’app di messaggistica fasulla
Una volta installata l’app sul sistema operativo dello smartphone, lo spyware integrato era prontamente attivo a fare quello per cui era nato, derubare l’utente, con ad esempio l’esfiltrazione di dati, il monitoraggio di diversi tipi di attività sullo smartphone e tanto altro che , ad altri, non dovrebbe interessare, specie perchè sono dati privati. Il team dietro il RAT avrebbe inoltre avuto accesso agli SMS dell’utente, ai Contatti, ai log delle conversazioni, alle informazioni sulla rete cellulare su cui si appoggia, fra cui numero di telefono e numero seriale del dispositivo usato, che in mani sbagliate può portare a grossi danni.Senza contare la possibilità di registrare le telefonate.
Come riportato da Cyble, l’applicazione richiedeva l’accesso a diverse funzioni dello smartphone. Un nota diversa rispetto alla versione diffusa nel 2020, è che GravityRAT ha introdotto la possibilità di registrare le telefonate.