GravityRAT regresa a la Tierra con Android, software espía para macOS - Calendae | Informática, Electrónica, CMS, Ciberseguridad

GravityRAT regresa a la Tierra con Android, software espía para macOS

Hola de nuevo. Te escribe Eduardo Arroyo y en esta ocasión te voy a hablar sobre GravityRAT regresa a la Tierra con Android, software espía para macOS

GravityRAT regresa a la Tierra con Android, software espía para macOS

La herramienta de espionaje se hace pasar por aplicaciones legítimas y roba a las víctimas sus datos.

Los criminales detrás del software espía GravityRAT han lanzado nuevas variantes de macOS y Android por primera vez.

El troyano de acceso remoto GravityRAT existe desde al menos 2015, según los investigadores de Kaspersky, pero se ha centrado principalmente en los sistemas operativos Windows. Las últimas noticias importantes sobre desarrollo llegaron en 2018, cuando los desarrolladores detrás del malware realizaron cambios clave en el código RAT en un esfuerzo por reducir la detección de antivirus.

Recientemente, sin embargo, los investigadores de Kaspersky detectaron el código GravityRAT actualizado que indica una revisión del malware. Investigaciones posteriores confirmaron que el grupo detrás del [GravityRAT] el malware ha invertido esfuerzos para convertirlo en una herramienta multiplataforma … la campaña aún se está ejecutando «, según la investigación publicado el lunes.

El malware es capaz de recuperar datos de dispositivos, listas de contactos, direcciones de correo electrónico, registros de llamadas y mensajes SMS, y puede filtrar varios tipos de documentos y archivos.

En el frente móvil, se informó a Kaspersky que GravityRAT estaba de vuelta cuando los investigadores observaron un código malicioso incrustado en una aplicación de viaje de Android para usuarios indios.

Después de un análisis de código, pudieron determinar que el módulo de malware era en realidad un pariente de GravityRAT. Luego, los investigadores decidieron buscar más, ya que el código «no parece una pieza típica de software espía de Android», dijeron los investigadores.

«El análisis de las direcciones de comando y control (C2) del módulo utilizado reveló varios módulos maliciosos adicionales, también relacionados con el actor detrás de GravityRAT», explicaron.

Aplicación de viajes maliciosa. Fuente: Kaspersky.

En general, el análisis encontró más de 10 versiones nuevas de GravityRAT, todas distribuidas dentro de aplicaciones troyanas, incluidas aquellas disfrazadas de aplicaciones seguras para compartir archivos o reproductores multimedia. Usados ​​juntos, estos módulos representan una base de código multiplataforma que permite al grupo acceder al sistema operativo Windows, MacOS y Android.

«El principal cambio visto en la nueva campaña GravityRAT es multiplataforma», dijeron los investigadores. “Además de Windows, ahora hay versiones para Android y macOS. Los ciberdelincuentes también han comenzado a utilizar firmas digitales para hacer que las aplicaciones sean más legítimas «.

Una vez instalado, el software espía recibe comandos del servidor. Los comandos incluyen información sobre el comando Get en el sistema; buscar archivos en su computadora y discos extraíbles (con extensiones .doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp y .ods); subir archivos al servidor; obtener una lista de los procesos en ejecución; interceptar las teclas presionadas; tomar capturas de pantalla; ejecutar comandos de shell arbitrarios; grabar audio y escanear puertos.

La campaña continúa, dirigida principalmente a víctimas en India. Esto continúa con la victimología estándar de GravityRAT. Kaspersky también cree que el malware se está propagando de la misma manera que las versiones anteriores, como las redes sociales, donde a las personas objetivo se les envían enlaces que apuntan a aplicaciones y programas maliciosos.

«En 2019, The Times of India publicó un artículo sobre los métodos ciberdelincuentes utilizados para distribuir GravityRAT durante el período 2015-2018 «, según el análisis». Las víctimas fueron contactadas a través de una cuenta falsa de Facebook y se les pidió que instalaran una aplicación maliciosa disfrazada de mensajería segura para continuar la Se han identificado unos 100 casos de infección de empleados de defensa, policía y otros departamentos y organizaciones «.

El principal cambio de táctica es la inversión para ampliar la base de objetivos del grupo, concluyeron los investigadores.

«Nuestra investigación indicó que el actor detrás de GravityRAT continúa invirtiendo en sus habilidades de espionaje», dijo Tatyana Shishkova, experta en seguridad de Kaspersky, en un comunicado. «El disfraz inteligente y una cartera ampliada de sistemas operativos no solo nos permiten decir que podemos esperar más incidentes con este malware en la región APAC, sino que también respalda la tendencia más amplia de que los atacantes no están necesariamente enfocados en desarrollar nuevo malware, pero en su lugar, en un intento de tener el mayor éxito posible «.

.

No te olvides compartir en tu Facebook para que tus colegas lo flipen

??? ? ? ???

Comparte