Un Trojan di accesso remoto basato su Windows che si ritiene sia stato progettato da gruppi di hacker pakistani per infiltrarsi nei computer e rubare i dati degli utenti è riemerso dopo un periodo di due anni con funzionalità riorganizzate per colpire i dispositivi Android e macOS.
Secondo la società di sicurezza informatica Kaspersky, il malware – soprannominato ” GravityRAT ” – ora si maschera da app Android e macOS legittime per acquisire dati del dispositivo, elenchi di contatti, indirizzi e-mail e registri di chiamate e testo e trasmetterli a un server controllato da un utente malintenzionato.
Documentato per la prima volta dall’Indian Computer Emergency Response Team (CERT-In) nell’agosto 2017 e successivamente da Cisco Talos nell’aprile 2018, GravityRAT è noto per colpire entità e organizzazioni indiane tramite documenti Microsoft Office Word contenenti malware almeno dal 2015.
Notando che l’attore della minaccia ha sviluppato almeno quattro diverse versioni dello strumento di spionaggio, Cisco ha affermato che “lo sviluppatore è stato abbastanza intelligente da mantenere al sicuro questa infrastruttura e non farlo inserire nella lista nera di un fornitore di sicurezza”.
Poi, l’anno scorso, è emerso che le spie pakistane hanno utilizzato account Facebook falsi per raggiungere più di 98 funzionari di varie forze e organizzazioni di difesa, come l’esercito indiano, l’aeronautica e la marina, e indurli con l’inganno a installare il malware camuffato da app di messaggistica sicura chiamata Whisper.
Ma anche se l’ultima evoluzione di GravityRAT va oltre le capacità di evasione anti-malware per ottenere il supporto multipiattaforma, inclusi Android e macOS, il modus operandi generale rimane lo stesso: inviare collegamenti di obiettivi ad Android con trappole esplosive (ad esempio, Travel Mate Pro) e app macOS (Enigma, Titanium) per distribuire il malware.
Kaspersky ha affermato di aver trovato oltre dieci versioni di GravityRAT che venivano distribuite con il pretesto di applicazioni legittime facendo riferimento incrociato agli indirizzi di comando e controllo (C2) utilizzati dal Trojan.
In tutto, le applicazioni trojan si estendevano su viaggi, condivisione di file, lettori multimediali e categorie di fumetti per adulti, soddisfacendo gli utenti di Android, macOS e Windows, consentendo così agli aggressori di acquisire informazioni di sistema, documenti con estensioni specifiche, un elenco di elabora, registra le sequenze di tasti e acquisisce schermate e persino esegue comandi Shell arbitrari.
“La nostra indagine ha indicato che l’attore dietro GravityRAT sta continuando a investire nelle sue capacità di spionaggio”, ha detto Tatyana Shishkova di Kaspersky .
“L’astuto travestimento e un portafoglio di sistemi operativi ampliato non solo ci consentono di affermare che possiamo aspettarci più incidenti con questo malware nella regione APAC, ma ciò supporta anche la tendenza più ampia secondo cui gli utenti malintenzionati non sono necessariamente concentrati sullo sviluppo di nuovo malware, ma quelli invece, nel tentativo di avere il maggior successo possibile “.
About Author
