Эксперты «Лаборатории Касперского» сообщают, что шпионский вредонос GravityRAT, который используется для проведения целевых атак как минимум с 2015 года, теперь представляет собой мультиплатформенный инструмент. Данная малварь ранее применялась в ходе кампании кибершпионажа, нацеленной на индийских военных, и изначально была разработана для Windows-устройств. Теперь же появились новые модули, направленные на операционные системы Android и macOS.
Исследователи обнаружили, что GravityRAT научился атаковать и Android, когда в 2019 году заметили вредоносный модуль в приложении для путешественников по Индии Travel Mate, исходный код которого выложен на Github. Злоумышленники взяли версию приложения, опубликованную на Github в октябре 2018 года, добавили в нее вредоносный код и поменяли название на Travel Mate Pro.
Найденный образец отличался от типичной шпионской Android-малвари: для его внедрения было выбрано специфическое приложение, а вредоносный код не был похож на известную малварь такого типа. Поэтому специалисты решили сопоставить код с кодом программ, используемых для проведения известных кампаний кибершпионажа, и в итоге обнаружили более десяти вредоносных модулей, также относящихся к семейству GravityRAT.
Малварь распространяется под видом легитимных приложений (таких как защищенные облачные хранилища, файлообменники, браузеры, программы для создания резюме или медиаплееры) и в фишинговых ссылках на скачивание якобы защищенного мессенджера для обсуждения вакансии. Вредонос атакует устройства под управлением Windows, Android и MacOS.
Функциональность GravityRAT в большинстве случаев остается прежней, типичной для шпионского ПО. Так, вредонос передает на управляющий сервер данные об устройстве, список контактов, электронные адреса, данные журнала звонков и SMS-сообщения. Некоторые трояны также искали в памяти устройства файлы с расширениями .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx и .opus, а затем тоже отправляли их на командные серверы.
«Мы видим, что злоумышленники, стоящие за кампанией GravityRAT, активно инвестируют в его разработку. Они хитроумными методами избегают обнаружения и добавляют модули для разных операционных систем, что предсказывает нам рост числа атак этого зловреда в Азиатско-Тихоокеанском регионе в будущем. На развитие инструмента также влияет распространённый в среде злоумышленников тренд не разрабатывать новое ПО, а совершенствовать уже имеющееся», — комментирует Татьяна Шишкова, эксперт по безопасности «Лаборатории Касперского».
