Шпионская программа GravityRAT стала мультиплатформенной

Эксперты «Лаборатории Касперского» впервые узнали о том, что GravityRAT научился атаковать и Android, когда увидели в приложении для путешественников по Индии вредоносный модуль, относящийся к данному семейству. Исследователи заинтересовались найденным образцом, поскольку он отличался от типичной шпионской Android-программы: для внедрения было выбрано специфическое приложение, а вредоносный код не был похож на код известного ПО такого типа. Вот почему они решили сопоставить код с кодом программ, используемых для проведения известных кампаний кибершпионажа, и в итоге обнаружили более десяти вредоносных модулей, также относящихся к семейству GravityRAT. Зловреды распространяются под видом легитимных приложений (таких как защищённые облачные хранилища, файлообменники, браузеры, программы для создания резюме или медиаплееры) и в фишинговых ссылках на скачивание якобы защищённого мессенджера для обсуждения вакансии. Вредоносное ПО атакует устройства под управлением Windows, Android и MacOS.

Функционал GravityRAT в большинстве случаев остаётся прежним, типичным для шпионского ПО. Зловред отправляет на командный сервер данные об устройстве, список контактов, электронные адреса, данные журнала звонков и СМС-сообщения. Некоторые троянцы искали в памяти устройства файлы с расширениями .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx и .opus и затем отправляли их на командно-контрольные серверы.

«Мы видим, что злоумышленники, стоящие за кампанией GravityRAT, активно инвестируют в его разработку. Они хитроумными методами избегают обнаружения и добавляют модули для разных операционных систем, что предсказывает нам рост числа атак этого зловреда в Азиатско-Тихоокеанском регионе в будущем. На развитие инструмента также влияет распространённый в среде злоумышленников тренд не разрабатывать новое ПО, а совершенствовать уже имеющееся», — комментирует Татьяна Шишкова, эксперт по безопасности «Лаборатории Касперского».