Το GravityRAT, ένα malware που ελέγχει τη θερμοκρασία της CPU των Windows υπολογιστών για την ανίχνευση εικονικών μηχανών ή sandbox, απέκτησε επιπλέον χαρακτηριστικά, ώστε να μπορεί να μολύνει Android και macOS συσκευές.
Το GravityRAT Remote Access Trojan (RAT) εμφανίστηκε το 2015 από μια πακιστανική hacking ομάδα και έχει χρησιμοποιηθεί σε στοχευμένες επιθέσεις εναντίον ινδικών στρατιωτικών οργανώσεων.
Οι νέες εκδόσεις του RAT μολύνουν συσκευές Android και macOS
Ερευνητές της Kaspersky ανακάλυψαν ότι το τελευταίο διάστημα το RAT στοχεύει macOS και Android.
Επίσης, χρησιμοποιεί ψηφιακές υπογραφές για να φαίνονται οι εφαρμογές του νόμιμες.
Η νέα έκδοση του GravityRAT εντοπίστηκε κατά την ανάλυση μιας Android spyware εφαρμογής (π.χ. Travel Mate Pro), η οποία κλέβει επαφές, emails και έγγραφα που αποστέλλονται στον nortonupdates[.]online command-and-control server, που χρησιμοποιείται επίσης από δύο άλλες κακόβουλες εφαρμογές (Enigma and Titanium) με στόχο Windows και macOS.
Το spyware malware που εγκαθιστούν αυτές οι κακόβουλες εφαρμογές εκτελεί κώδικα πολλαπλών μορφών και επιτρέπει στους εισβολείς να στέλνουν εντολές για:
- λήψη πληροφοριών για το σύστημα
- αναζήτηση αρχείων στον υπολογιστή και αφαιρούμενων δίσκων με τις επεκτάσεις .doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp και .ods και μεταφόρτωση στον server
- λήψη μιας λίστας με τις τρέχουσες διαδικασίες
- παρακολούθηση πληκτρολογήσεων
- λήψη screenshots
- εκτέλεση shell εντολών
- εγγραφή ήχου (δεν εφαρμόζεται σε αυτήν την έκδοση)
- σάρωση θυρών
Σύμφωνα με την Kaspersky, οι αναλύσεις έδειξαν και άλλες κακόβουλες δραστηριότητες, που σχετίζονται, επίσης, με την ομάδα πίσω από το GravityRAT.
“Συνολικά, βρέθηκαν περισσότερες από 10 εκδόσεις του GravityRAT, οι οποίες κυκλοφόρησαν σαν νόμιμες εφαρμογές, όπως ασφαλείς εφαρμογές κοινής χρήσης αρχείων που θα βοηθούσαν στην προστασία των συσκευών των χρηστών από Trojans ή ως προγράμματα αναπαραγωγής πολυμέσων“, είπαν οι ερευνητές.
Με όλες αυτές τις εκδόσεις, το GravityRAT είναι πλέον σε θέση να επηρεάσει τόσο Windows υπολογιστές, όσο και MacOS και Android.
Παραδίδεται μέσω συνδέσμων
Οι ερευνητές της Kaspersky βρήκαν, επίσης, εφαρμογές σε .NET, Python και Electron, που παρουσιάζονται σαν νόμιμες εφαρμογές και κατεβάζουν GravityRAT payloads από τον C&C server.
Από το 2015 έως το 2018 έχουν πραγματοποιηθεί τουλάχιστον 100 επιτυχημένες επιθέσεις με το GravityRAT. Μάλιστα, πολλοί εργαζόμενοι της αστυνομίας και της άμυνας είχαν μολυνθεί αφού εξαπατήθηκαν (μέσω Facebook) και εγκατέστησαν ένα υποτιθέμενο “ασφαλές messenger”.
Σύμφωνα με το Bleepingcomputer, οι ερευνητές δεν είναι σίγουροι για τον τρόπο διανομής της νέας έκδοσης του RAT, αλλά πιστεύουν ότι πιθανότατα στέλνουν links που οδηγούν στις κακόβουλες εφαρμογές (όπως έκαναν και στο παρελθόν).
“Η έρευνά μας έδειξε ότι οι hackers πίσω από το GravityRAT συνεχίζουν να επενδύουν στις δυνατότητές του για κατασκοπεία“, δήλωσε η ειδικός ασφαλείας της Kaspersky, Tatyana Shishkova.
Οι ερευνητές της Kaspersky πιστεύουν ότι από τη στιγμή που το RAT στοχεύει Android και MacOS, θα πρέπει να περιμένουμε περισσότερες επιθέσεις. Επίσης, οι hackers πίσω από το GravityRAT, δείχνουν ότι οι εγκληματίες δεν δημιουργούν μόνο νέα malware. Συνηθίζουν να εξελίσσουν ήδη υπάρχοντα malware για να τα κάνουν πιο αποτελεσματικά.