Zostaw komentarz
Niedawno badacze z firmy Kaspersky zidentyfikowali nieznane wcześniej oprogramowanie szpiegujące dla systemu Android. Szkodliwy moduł został umieszczony w aplikacji dla podróżnych przeznaczonej dla indyjskich użytkowników. Szczegółowe badanie wykazało, że jest on powiązany z GravityRAT – trojanem umożliwiającym zdalny dostęp do komputera w celach szpiegowskich, którego aktywność została wykryta w Indiach. Dalsze dochodzenie potwierdziło, że stojące za szkodnikiem ugrupowanie włożyło wiele wysiłku w stworzenie wieloplatformowego narzędzia. Oprócz atakowania systemów operacyjnych Windows szkodnik może być również wykorzystywany na urządzeniach z systemem Android oraz macOS. Kampania jest nadal aktywna.
W 2018 r. badacze z firmy Kaspersky opublikowali analizę GravityRAT – narzędzia wykorzystywanego w atakach ukierunkowanych na indyjskie służby wojskowe. Kampania ta była prowadzona od co najmniej 2015 r. i dotyczyła głównie systemów operacyjnych Windows. Jednak kilka lat później sytuacja uległa zmianie i ugrupowanie wzięło na celownik również system Android.
Zidentyfikowany moduł, który stanowi kolejny dowód potwierdzający tę zmianę, z wielu względów nie przypominał typowego oprogramowania szpiegującego dla systemu Android. Na przykład realizacja celów szpiegowskich wymagała wybrania określonej aplikacji, a szkodliwy kod nie opierał się na rozwiązaniach wykorzystywanych w znanych aplikacjach szpiegujących. To skłoniło badaczy z firmy Kaspersky do porównania modułu ze znanymi rodzinami zaawansowanych cyberzagrożeń.
Analiza wykorzystywanych adresów serwerów cyberprzestępczych ujawniła kilka dodatkowych szkodliwych modułów, również powiązanych z ugrupowaniem stojącym za GravityRAT. Łącznie wykryto ponad 10 wersji trojana GravityRAT rozprzestrzenianych pod przykrywką legalnych aplikacji, takich jak aplikacje bezpiecznego współdzielenia plików pomagające zabezpieczyć urządzenia użytkowników przed trojanami szyfrującymi czy odtwarzacze multimedialne. Wykorzystywane wspólnie, moduły te pozwalały ugrupowaniu cyberprzestępczemu szpiegować urządzenia z systemem Windows, macOS oraz Android.
Podobnie jak standardowe oprogramowanie szpiegujące opisywane moduły potrafią uzyskiwać dane dot. urządzenia, listy kontaktów, adresy e-mail, historie połączeń oraz wiadomości SMS. Niektóre z trojanów szukały ponadto plików o rozszerzaniach .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx,
.ppt, .pptx, .docx oraz .opus w pamięci urządzenia w celu wysłania ich do serwera kontrolowanego przez atakujących.