Для шпионской программы GravityRAT появились версии для Android и macOS
Антивирусная компания «Лаборатория Касперского» сообщает о том, что программа-шпион GravityRAT, которая используется для проведения целевых кибератак как минимум с 2015 года, теперь представляет собой мультиплатформенный инструмент. Этот зловред ранее применялся в кампании кибершпионажа, нацеленной на индийских военных, и изначально был разработан для Windows-устройств. Теперь же появились новые модули, направленные на операционные системы Android и macOS.
О том, что GravityRAT научился атаковать и Android эксперты антивирусной компании впервые узнали, когда увидели в приложении для путешественников по Индии вредоносный модуль, относящийся к данному семейству. Исследователи заинтересовались найденным образцом, поскольку он отличался от типичной шпионской Android-программы: для внедрения было выбрано специфическое приложение, а вредоносный код не был похож на код известного ПО такого типа. Вот почему они решили сопоставить код с кодом программ, используемых для проведения известных кампаний кибершпионажа, и в итоге обнаружили более десяти вредоносных модулей, также относящихся к семейству GravityRAT. Зловреды распространяются под видом легитимных приложений (таких как защищённые облачные хранилища, файлообменники, браузеры, программы для создания резюме или медиаплееры) и в фишинговых ссылках на скачивание якобы защищённого мессенджера для обсуждения вакансии. Вредоносное ПО атакует устройства под управлением Windows, Android и MacOS.
Функционал GravityRAT в большинстве случаев остаётся прежним, типичным для шпионского ПО. Зловред отправляет на командный сервер данные об устройстве, список контактов, электронные адреса, данные журнала звонков и СМС-сообщения. Некоторые троянцы искали в памяти устройства файлы с расширениями .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx и .opus и затем отправляли их на командно-контрольные серверы.
