Kaspersky a descoperit o nouă componentă spyware GravityRAT pe Android

Kaspersky a identificat o componenta spyware pe Android, necunoscuta anterior. Acest modul malware a fost introdus intr-o aplicatie de calatorie pentru utilizatorii indieni si are legaturi cu GravityRAT.

O analiza detaliata a evidentiat ca aceasta era legata de GravityRAT, un troian de tip Remote Access Trojan (RAT), de spionaj, cunoscut pentru activitatile desfasurate in India. Investigatiile ulterioare au confirmat faptul ca grupul din spatele acestui malware a depus eforturi in scopul crearii unui instrument multiplatforma. Pe lsnga directionarea catre sistemele de operare Windows, acesta poate fi folosit acum pe Android si Mac OS. Campania este inca activa.

In 2018, cercetatorii in domeniul securitatii cibernetice au publicat o analiza detaliata asupra evolutiei GravityRAT. Instrumentul a fost utilizat in atacuri directionate impotriva serviciilor militare indiene. Conform datelor Kaspersky, campania a fost activa cel putin din anul 2015, fiind concentrata mai ales pe sistemele de operare Windows. Cu cativa ani in urma, insa, situatia s-a schimbat, iar grupul a adaugat sistemul Android pe lista tintelor sale.

Modulul identificat a fost inca o dovada a acestei schimbari si au existat mai multe motive pentru care nu arata ca o componenta tipica de spyware Android. De exemplu, trebuie selectata o anumita aplicatie pentru a desfasura activitati rau intentionate, iar codul folosit – asa cum se intampla adesea – nu se baza pe codul unor aplicatii spyware cunoscute pana acum. Acest lucru i-a motivat pe cercetatorii Kaspersky sa compare modulul respectiv cu familiile APT deja cunoscute.

Analiza adreselor de comanda si control (C&C) utilizate a dezvaluit mai multe module periculoase, legate de gruparea din spatele GravityRAT. In total, au fost gasite peste 10 versiuni ale GravityRAT, distribuite ca aplicatii legitime, cum ar fi cele de partajare securizata a fisierelor care ar ajuta la protejarea dispozitivelor utilizatorilor de criptarea troienilor sau ca playere media. Utilizate impreuna, aceste module au permis grupului sa acceseze sistemele de operare Windows, Mac OS si Android.

Lista functiilor activate in majoritatea cazurilor a fost standard si obisnuita pentru programele de tip spyware. Modulele pot prelua datele dispozitivului, listele de contacte, adresele de e-mail, jurnalele de apeluri si mesajele SMS. Unii dintre troieni cautau si fisiere cu extensii . jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx, si .opus din memoria dispozitivului, pentru a le trimite si pe ele la serverele C&C.

„Ancheta noastra a aratat ca gruparea din spatele GravityRAT continua sa investeasca in abilitatile sale de spionaj. Aceasta capacitate de a se deghiza si portofoliul extins de sisteme de operare ne permit sa spunem ca ne putem astepta la mai multe incidente cu acest malware in regiunea APAC si confirma tendinta tot mai larga conform careia utilizatorii rau intentionati nu sunt neaparat axati pe dezvoltarea de noi programe malware, ci pe dezvoltarea celor deja testate, in incercarea de a avea cat mai mult succes.”

spune Tatyana Shishkova, expert in securitate la Kaspersky.

Pentru a va proteja de amenintarile spyware, Kaspersky recomanda urmatoarele masuri de securitate:

• Oferiti-i echipei din centrul de operatiuni de securitate (Security Operations Center – SOC) acces la cele mai recente informatii despre amenintarile cibernetice. Kaspersky Threat Intelligence Portal ofera acces la rapoartele companiei, furnizand date despre atacuri cibernetice si informatii colectate de Kaspersky de mai bine de 20 de ani.
• Pentru detectarea la nivel endpoint, investigatii si remedierea rapida a incidentelor, implementati solutii de tip EDR fiabile, precum Kaspersky Endpoint Detection and Response.
• Pentru a va proteja dispozitivele din companie, inclusiv pe cele cu sistemul de operare Android, de aplicatiile periculoase, utilizati o solutie de securitate endpoint, avand control asupra aplicatiilor mobile. Acest lucru va poate asigura ca numai aplicatiile de incredere dintr-o lista aprobata pot fi instalate pe dispozitivele care au acces la date corporative importante.