Kaspersky: Un troian de spionaj, descoperit recent pe sistemul de operare Android
„Kaspersky a identificat o componentă de tip spyware pe Android, care nu a fost cunoscută anterior. Acest modul malițios a fost integrat într-o aplicație de călătorie destinată utilizatorilor din India. O analiză amănunțită a relevat că acesta era asociat cu GravityRAT, un troian de tip Remote Access Trojan (RAT) cunoscut pentru activitățile sale în India. Investigațiile ulterioare au confirmat că grupul responsabil pentru acest malware a depus eforturi pentru a dezvolta un instrument multiplatformă. Pe lângă atacurile asupra sistemelor Windows, acesta poate acum să fie utilizat și pe Android și Mac OS. Campania rămâne activă”, se menționează într-un comunicat de presă al companiei, transmis luni AGERPRES.
Începând din 2018, specialiștii au publicat o analiză detaliată a evoluției GravityRAT, concluzionând că acest instrument a fost folosit în atacuri direcționate împotriva serviciilor militare indiene. Astfel, campania a fost activă cel puțin din 2015, concentrându-se în principal pe sistemele de operare Windows, conform datelor furnizate de Kaspersky.
„Cu câțiva ani în urmă, însă, situația s-a schimbat, iar grupul a inclus sistemul Android în lista sa de ținte. Modulul identificat este o dovadă a acestei schimbări, având mai multe caracteristici care nu se aliniază cu cele ale componentelor tipice de spyware Android. De exemplu, este necesară selectarea unei aplicații specifice pentru a desfășura activități malițioase, iar codul utilizat – așa cum se întâmplă frecvent – nu se bazează pe codul unor aplicații spyware cunoscute. Acest lucru a determinat cercetătorii Kaspersky să compare modulul cu familiile APT deja identificate. Analiza adreselor de comandă și control (C&C) utilizate a scos la iveală mai multe module periculoase, asociate cu gruparea din spatele GravityRAT. În total, au fost identificate peste 10 versiuni ale GravityRAT, distribuite ca aplicații legitime, cum ar fi cele pentru partajarea securizată a fișierelor, care ajută la protejarea dispozitivelor utilizatorilor de troieni sau ca playere media. Utilizate împreună, aceste module au permis grupului să acceseze sistemele de operare Windows, Mac OS și Android”, subliniază specialiștii.
Astfel, lista funcțiilor activate în majoritatea cazurilor a fost standard și obișnuită pentru programele de tip spyware, iar modulele pot extrage datele dispozitivului, inclusiv listele de contacte, adresele de e-mail, jurnalele de apeluri și mesajele SMS.
Un alt detaliu semnificativ este că unii dintre troieni căutau fișiere cu extensiile .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx și .opus din memoria dispozitivului, pentru a le trimite către serverele C&C.
Kaspersky este o companie globală de securitate cibernetică, fondată în 1997, care protejează peste 400 de milioane de utilizatori individuali și 270.000 de companii client prin tehnologiile sale avansate.
