Onderzoekers hebben spyware ontdekt die WhatsApp-back-ups van besmette telefoons steelt. Het gaat om een nieuwe versie van de GravityRAT, waarvan versies voor Android, macOS en Windows bestaan. Dat laat antivirusbedrijf ESET weten. Via de remote access tool is het mogelijk om allerlei gegevens van gebruikers te stelen en die via de microfoon af te luisteren. De nieuwste versie van GravityRAT voor Android zit verborgen in een getrojaniseerde versie van de OMEMO chatapp en wordt buiten de Google Play Store aangeboden.

De malafide app biedt de beloofde chatfunctionaliteit, maar steelt in de achtergrond allerlei gegevens van de gebruiker, zoals gespreksgeschiedenis, adresboek, sms-berichten, documenten, foto's, locatiegegevens en apparaatgegevens. De nieuwste versie van GravityRAT heeft twee updates ontvangen. Daardoor is de malware nu ook in staat om WhatsApp-back-ups op de telefoon te stelen.

Daarnaast kunnen aanvallers commando's naar de malware sturen om gespreksgeschiedenis, adresboek en opgegeven bestanden te verwijderen nadat die zijn gestolen. "Dit zijn zeer specifieke commando's die niet vaak in Android-malware worden waargenomen. Vorige versies van Android GravityRAT konden helemaal geen commando's ontvangen, ze konden alleen data op een gegeven moment naar een server uploaden", zegt onderzoeker Lukas Stefanko. Eerdere versies van GravityRAT werden voornamelijk bij gerichte aanvallen in India ingezet.