0
0
Um Trojan de acesso remoto baseado no Windows, que se acredita ter sido projetado por grupos de hackers paquistaneses para se infiltrar em computadores e roubar dados dos usuários, reapareceu após um período de dois anos com recursos refeitos para atingir dispositivos Android e macOS.
De acordo com a empresa de segurança cibernética Kaspersky, o malware — apelidado de “GravityRAT” — agora se disfarça de aplicativos legítimos para Android e macOS para capturar dados de dispositivos, listas de contatos, endereços de e-mail e registros de chamadas e textos e transmiti-los para um servidor controlado por invasores.
Documentada pela primeira vez pela Equipe indiana de resposta a emergências de computador (CERT-In) em agosto de 2017 e posteriormente pela Cisco Talos em abril de 2018, a GravityRAT é conhecida por atingir entidades e organizações indianas através de documentos do Microsoft Office Word com malware pelo menos desde 2015.
Observando que o ator de ameaças desenvolveu pelo menos quatro versões diferentes da ferramenta de espionagem, a Cisco disse: “o desenvolvedor foi inteligente o suficiente para manter essa infraestrutura segura, e não tê-la na lista negra por um fornecedor de segurança”.
Então, no ano passado, surgiu que espiões paquistaneses usaram contas falsas do Facebook para alcançar mais de 98 funcionários de várias forças de defesa e organizações, como o Exército Indiano, Força Aérea e Marinha, e enganá-los para instalar o malware disfarçado como um aplicativo de mensagens seguro chamado Whisper.
Mas mesmo que a evolução mais recente do GravityRAT vá além dos recursos de evasão anti-malware para obter suporte multiplataforma — incluindo Android e macOS — o modus operandi global permanece o mesmo: enviar links de destino para aplicativos Android (por exemplo, Travel Mate Pro) e macOS (Enigma, Titanium) para distribuir o malware.
A Kaspersky disse que encontrou mais de dez versões do GravityRAT que estavam sendo distribuídas sob o pretexto de aplicativos legítimos, cruzando os endereços de comando e controle (C2) usados pelo Trojan.
Ao todo, os aplicativos trojanizados abrangeram as categorias de viagens, compartilhamento de arquivos, jogadores de mídia e quadrinhos adultos, atendendo aos usuários de Android, macOS e Windows, permitindo assim que os invasores capturassem informações do sistema, documentos com extensões específicas, uma lista de processos em execução, gravassem teclas e tirassem capturas de tela e até executem comandos shell arbitrários.
“Nossa investigação indicou que o ator por trás da GravityRAT continua investindo em suas capacidades de espionagem”, disseTatyana Shishkova, da Kaspersky.
“O disfarce astuto e um portfólio de OS expandido não só nos permitem dizer que podemos esperar mais incidentes com esse malware na região da APAC, mas isso também suporta a tendência mais ampla de que os usuários mal-intencionados não estão necessariamente focados no desenvolvimento de novos malwares, mas no desenvolvimento de novos malwares comprovados, em uma tentativa de ser o mais bem sucedido possível.”
FONTE: THE HACKER NEWS