Niedawno badacze z firmy Kaspersky zidentyfikowali nieznane wcześniej oprogramowanie szpiegujące dla systemu Android. Szkodliwy moduł został umieszczony w aplikacji dla podróżnych przeznaczonej dla indyjskich użytkowników. Szczegółowe badanie wykazało, że jest on powiązany z GravityRAT – trojanem umożliwiającym zdalny dostęp do komputera w celach szpiegowskich, którego aktywność została wykryta w Indiach.
Dalsze dochodzenie potwierdziło, że stojące za szkodnikiem ugrupowanie włożyło wiele wysiłku w stworzenie wieloplatformowego narzędzia. Oprócz atakowania systemów operacyjnych Windows szkodnik może być również wykorzystywany na urządzeniach z systemem Android oraz macOS. Kampania jest nadal aktywna.
W 2018 r. badacze z firmy Kaspersky opublikowali analizę GravityRAT – narzędzia wykorzystywanego w atakach ukierunkowanych na indyjskie służby wojskowe. Kampania ta była prowadzona od co najmniej 2015 r. i dotyczyła głównie systemów operacyjnych Windows. Jednak kilka lat później sytuacja uległa zmianie i ugrupowanie wzięło na celownik również system Android.
Zidentyfikowany moduł, który stanowi kolejny dowód potwierdzający tę zmianę, z wielu względów nie przypominał typowego oprogramowania szpiegującego dla systemu Android. Na przykład realizacja celów szpiegowskich wymagała wybrania określonej aplikacji, a szkodliwy kod nie opierał się na rozwiązaniach wykorzystywanych w znanych aplikacjach szpiegujących. To skłoniło badaczy z firmy Kaspersky do porównania modułu ze znanymi rodzinami zaawansowanych cyberzagrożeń.
Analiza wykorzystywanych adresów serwerów cyberprzestępczych ujawniła kilka dodatkowych szkodliwych modułów, również powiązanych z ugrupowaniem stojącym za GravityRAT. Łącznie wykryto ponad 10 wersji trojana GravityRAT rozprzestrzenianych pod przykrywką legalnych aplikacji, takich jak aplikacje bezpiecznego współdzielenia plików pomagające zabezpieczyć urządzenia użytkowników przed trojanami szyfrującymi czy odtwarzacze multimedialne. Wykorzystywane wspólnie, moduły te pozwalały ugrupowaniu cyberprzestępczemu szpiegować urządzenia z systemem Windows, macOS oraz Android.
Podobnie jak standardowe oprogramowanie szpiegujące opisywane moduły potrafią uzyskiwać dane dot. urządzenia, listy kontaktów, adresy e-mail, historie połączeń oraz wiadomości SMS. Niektóre z trojanów szukały ponadto plików o rozszerzaniach .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx oraz .opus w pamięci urządzenia w celu wysłania ich do serwera kontrolowanego przez atakujących.
– Z naszego dochodzenia wynika, że ugrupowanie stojące za trojanem GravityRAT wciąż inwestuje w swoje możliwości szpiegowskie. Sprytny kamuflaż oraz rozszerzenie zakresu atakowanych systemów operacyjnych nie tylko sugerują, że możemy spodziewać się kolejnych incydentów z udziałem omawianego szkodliwego oprogramowania w regionie Azja-Pacyfik, ale również stanowią potwierdzenie szerszego trendu polegającego na tym, że cyberprzestępcy niekoniecznie skupiają się na rozwijaniu nowych rodzajów szkodliwych programów, ale wykorzystują sprawdzone mechanizmy w celu zagwarantowania możliwie największej skuteczności – powiedziała Tatiana Sziszkowa, ekspertka ds. cyberbezpieczeństwa z firmy Kaspersky.