这个危险的新恶意软件是在你的WhatsApp备份之后

一个名为SpaceCobra的黑客组织开发了一款即时通讯应用程序，该应用程序还能够从目标设备窃取大量敏感信息。威胁行为者似乎确切地知道它想要瞄准谁，因为下载该应用程序已被证明对研究人员来说是一个相当大的挑战。

ESET的网络安全研究人员最近发现，名为BingeChat和Chatico的两款消息应用程序实际上在服务于远程访问木马GravityRAT。这种RAT能够从受感染的端点泄露大量敏感信息，包括通话记录、联系人列表、SMS消息、设备位置、基本设备信息以及带有特定扩展名的图片、照片和文档的文件。

没有应用商店存在

是什么让这两个应用程序从其他提供GravityRAT的应用程序中脱颖而出，因为它们还可以窃取WhatsApp备份并接收删除文件的命令。

恶意软件的分布方式使该活动更加独特。例如，这些应用在应用商店中找不到，也从未上传到GooglePlay。相反，它们只能通过访问特制网站并开设帐户来下载。这听起来可能没什么特别的，但ESET的研究人员无法开设账户，因为他们访问时注册已“关闭”。这促使他们得出结论，该组织的目标非常精确，可能针对特定位置或IP地址。

ESET研究员Lukᚊtefanko表示：“最有可能的是，运营商只在他们希望特定受害者访问时才开放注册，可能使用特定的IP地址、地理位置、自定义URL或在特定时间范围内访问。”“虽然我们无法通过网站下载BingeChat应用程序，但我们能够在VirusTotal上找到分发URL，”他补充道。

话虽如此，大多数受害者似乎居住在印度。袭击者SpaceCobra显然是巴基斯坦裔。研究人员表示，该活动很可能自去年8月以来一直活跃，其中两个(BingeChat)之一仍然活跃。该恶意应用程序基于开源OMEMOInstantMessenger应用程序，适用于Windows、macOS和Android。