Spionaj pe smartphone, prin intermediul unei aplicații de călătorie
Reading Time: 2 minuteÎn 2018, cercetătorii în domeniul securității cibernetice au publicat o analiză detaliată asupra evoluției GravityRAT, un troian de tip Remote Access Trojan (RAT), de spionaj. Conform datelor Kaspersky, campania a fost activă cel puțin din anul 2015, fiind concentrată mai ales pe sistemele de operare Windows. Pe lângă direcționarea către sistemele de operare Windows, acesta poate fi folosit acum pe Android și Mac OS.
Modulul identificat a fost încă o dovadă a acestei schimbări și au existat mai multe motive pentru care
nu arăta ca o componentă tipică de spyware Android. De exemplu, trebuie selectată o anumită
aplicație pentru a desfășura activități rău intenționate, iar codul folosit – așa cum se întâmplă adesea
– nu se baza pe codul unor aplicații spyware cunoscute până acum. Acest lucru i-a motivat pe
cercetătorii Kaspersky să compare modulul respectiv cu familiile APT deja cunoscute.
10 versiuni
Analiza adreselor de comandă și control (C&C) utilizate a dezvăluit mai multe module periculoase,
legate de gruparea din spatele GravityRAT. În total, au fost găsite peste 10 versiuni ale GravityRAT,
distribuite ca aplicații legitime, cum ar fi cele de partajare securizată a fișierelor care ar ajuta la
protejarea dispozitivelor utilizatorilor de criptarea troienilor sau ca playere media. Utilizate împreună,
aceste module au permis grupului să acceseze sistemele de operare Windows, Mac OS și Android.
„Ancheta noastră a arătat că gruparea din spatele GravityRAT continuă să investească în abilitățile sale de spionaj”, spune Tatyana Shishkova, expert în securitate la Kaspersky. „Această capacitate de a se deghiza și portofoliul extins de sisteme de operare ne permit să spunem că ne putem aștepta la mai multe incidente cu acest malware în regiunea APAC și confirmă tendința tot mai largă conform căreia utilizatorii rău intenționați nu sunt neapărat axați pe dezvoltarea de noi programe malware, ci pe dezvoltarea celor deja testate, în încercarea de a avea cât mai mult succes.”
Lista funcțiilor activate în majoritatea cazurilor a fost standard și obișnuită pentru programele de tip
spyware. Modulele pot prelua datele dispozitivului, listele de contacte, adresele de e-mail, jurnalele de
apeluri și mesajele SMS. Unii dintre troieni căutau și fișiere cu extensii . jpg, .jpeg, .log, .png, .txt, .pdf,
.xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx, și .opus din memoria dispozitivului, pentru a le trimite și pe ele
la serverele C&C.
Urmăriți Revista Biz și pe Google News. Abonamente Revista Biz