Троян GravityRAT для Windows теперь атакует Android и macOS

Вт 20 Октябрь 2020 13:06

Вредоносное ПО для Windows под названием GravityRAT, известное своей способностью обнаруживать песочницу и виртуальную машину путем проверки температуры центрального процессора, теперь может заражать Android- и macOS-устройства.

Троян для удаленного доступа (RAT) GravityRAT находится в активной разработке предположительно пакистанской киберпреступной группировкой как минимум с 2015 года и используется в целевых атаках на военные организации Индии.

Ранее GravityRAT атаковал исключительно Windows-ПК, однако обнаруженный специалистами «Лаборатории Касперского» образец свидетельствует о том, что теперь вредонос нацелен также на Android- и macOS-устройства. Более того, киберпреступники стали подписывать свой код цифровой подписью, чтобы вредоносные приложения выглядели более похожими на легитимные.

Специалисты «Лаборатории Касперского» обнаружили обновленный вариант GravityRAT во время анализа шпионских Android-приложений (в том числе Travel Mate Pro). Эти приложения похищают контакты, электронные письма и документы и отправляют их на online C&C-сервер nortonupdates[.]online, который также используется двумя другими вредоносными приложениями (Enigma и Titanium), атакующими Windows и macOS.

В ходе анализа адресного C&C-модуля исследователи выявили несколько дополнительных вредоносных модулей, также связанных с операторами GravityRAT. В общей сложности были обнаружены более десяти версий вредоноса, распространяемых под видом легитимных приложений для обмена файлами или медиаплееров.

Специалисты выявили приложения, написанные на языках .NET, Python и Electron, являющиеся «клонами» легитимных приложений, которые загружают с C&C-сервера полезную нагрузку GravityRAT и добавляют на зараженное устройство запланированную задачу для сохранения персистентности.

В период с 2015-го по 2018 год было обнаружено около ста успешных атак с использованием данного вредоноса. В число жертв GravityRAT входят военнослужащие и полицейские. Хотя векторы заражения точно не установлены, специалисты предполагают, что жертвы, вероятно, получают сообщения с ссылками на вредоносные приложения.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 249 дней 18 часов 17 минут 32 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.