Kompanija Kaspersky je identifikovala prethodno nepoznati primerak Android spajvera. Ovaj maliciozni modul je ubačen u aplikaciju za putovanja namenjenu indijskim korisnicima. Detaljnije istraživanje je otkrilo njegovu povezanost sa GravityRAT malverom, špijunskim trojancem za daljinski pristup (Remote Access Trojan – RAT) koji je poznat po sprovođenju aktivnosti u Indiji. Dalja istraga je potvrdila da je grupa koja stoji iza malvera uložila napor u pravljenje multiplatformskog alata. Pored targetiranja Windows operativnih sistema, malver sada može da se koristi na Android i Mac operativnim sistemima. Kampanja je još uvek aktivna.

Sajberbezbednosni istraživači su 2018. godine objavili pregled razvoja GravityRAT malvera. Alat je korišćen u targetiranim napadima na indijske vojne servise. Prema podacima kompanije Kaspersky, kampanja je aktivna bar od 2015. godine, uz naročit fokus na Windows operativne sisteme. Pre nekoliko godina, međutim, situacija se promenila, i grupa je dodala Android operativni sistem na svoju listu meta.

Povezana vest:  Eksplozija zvuka i boja na snežnim Alpima

Identifikovani modul je dodatni dokaz ove promene, i postoji mnoštvo razloga zbog kojih on nije izgledao kao tipičan primerak Android spajvera. Na primer, konkretna aplikacija mora biti izabrana kako bi sprovela malicioznu aktivnost, i maliciozni kod – kao što je to često slučaj – nije baziran na kodu prethodno poznatih spajver aplikacija. Ovo je istraživače kompanije Kaspersky podstaklo da uporede modul sa već poznatim APT porodicama.

Analiza korišćenih adresa za komandu i kontrolu (C&C) otkrila je nekoliko dodatnih malicioznih modula, takođe povezanih sa akterom koji stoji iza GravityRAT malvera. Ukupno je pronađeno preko 10 verzija GravityRAT malvera koje su distribuirane pod maskom legitimnih aplikacija, kao što su aplikacije za bezbedno deljenje fajlova koje pomažu u zaštiti korisničkih uređaja od trojanaca koji šifruju podatke, ili medija plejera. Korišćeni zajedno, ovi moduli su grupi omogućili da targetira Windows, Mac i Android operativne sisteme.

Povezana vest:  Kaspersky Lab: DDoS napadi preko WordPressa sada se sprovode i sa enkripcijom

Lista omogućenih funkcija je u većini slučajeva bila standardna i tipično očekivana za spajver. Moduli mogu da preuzmu podatke sa uređaja, liste kontakata, i-mejl adrese, evidencije poziva i SMS poruke. Neki od trojanaca su takođe tragali za fajlovima sa .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx, i .opus ekstenzijama u memoriji uređaja kako bi ih takođe poslali na C&C.

“Naša istraga je ukazivala na to da akter koji stoji iza GravityRAT malvera nastavlja da ulaže u svoje špijunske mogućnosti. Lukava maska i prošireni portfolio operativnih sistema ne samo da nas navode da kažemo da možemo očekivati više incidenata sa ovim malverom u APAC regiji, već takođe podržavaju šire rasprostranjeni trend prema kome maliciozni korisnici nisu nužno fokusirani na razvijanje novog malvera, već na razvijanje onih koji su se pokazali kao uspešni kako bi bili još uspešniji,” komentariše Tatjana Šiškova (Tatyana Shishkova), stručnjak za bezbednost, Kaspersky.

Povezana vest:  Da li nas mobilni telefoni špijuniraju?

Kako bi bili bezbedni od spajver pretnji, kompanija Kaspersky predlaže preduzimanje sledećih bezbednosnih mera:

  • Svom SOC timu obezbedite pristup najnovijim podacima o pretnjama (threat intelligence – TI). Kaspersky Threat Intelligence Portal pruža pristup podacima o pretnjama, uz podatke o sajber napadima i uvide koje je kompanija Kaspersky prikupila kroz više od 20 godina.
  • Za otkrivanje, istraživanje i blagovremeno saniranje incidenata na nivou krajnje tačke, implementirajte pouzdana EDR rešenja, kao što je Kaspersky Endpoint Detection and Response.
  • Kako biste zaštitili korporativne uređaje, uključujući one sa Android operativnim sistemom, od malicioznih aplikacija, koristite rešenje za zaštitu krajnje tačke sa kontrolom mobilnih aplikacija. Na ovaj način će samo pouzdane i odobrene aplikacije biti instalirane na uređajima koji imaju pristup osetljivim korporativnim podacima.

Za više informacija o novim napadima dokumentovanim iznad, pročitajte izveštaj u celosti na Securelist.