23 oct 2020

GravityRAT: spyware con módulos para MacOS y Android

En 2018, los investigadores de Cisco Talos publicaron un análisis del espía GravityRAT utilizado en ataques selectivos contra las fuerzas armadas de la India. El Centro de respuesta a incidentes de seguridad informática de la India (CERT-IN), fue el primero en descubrir este troyano en 2017. Se atribuye la autoría de esta familia a grupos de hackers paquistaníes. Según conocemos, la campaña ha estado activa desde al menos 2015 y anteriormente estaba dirigida contra equipos con Windows.  Sin embargo, desde 2018 ha sufrido cambios y los dispositivos Android han aparecido en la lista de sus objetivos.

En 2019, en VirusTotal, Kaspersky se topó con un curioso espía para Android y al analizarlo encontron una conexión con GravityRAT. Los atacantes agregaron un módulo espía a la aplicación de Android Travel Mate para viajeros a la India, cuyo código fuente está publicado en Github. De acuerdo con los datos de la compañía, este malware de tipo Remote Access Toolkit (RAT) podría haber estado activo por primera vez en 2015. Sin embargo, por aquel entonces sus capacidades de espionaje se centraban principalmente en sistemas operativos Windows, tal y como también se muestra en el informe de CISCO Talos de 2018, donde se recogían las capacidades del malware para detectar máquinas virtuales a través de la comprobación de la temperatura del sistema, y en cuya publicación ya se mostraban distintas variantes del troyano.

GravityRAT afecta a sistemas operativos Windows, pero por primera vez también se hallaron nuevos módulos que permitirían el espionaje de sistemas MacOS y Android. Según recoge la publicación de Kaspersky, parte del código contenido en estos módulos no es habitual en troyanos de tipo spyware.

En cuanto a las funcionalidades, son las siguientes:

  • Recuperación de datos de dispositivos.
  • Listado de contactos.
  • Listado de direcciones de correo electrónico.
  • Acceso a lista de llamadas.
  • Acceso a mensajes SMS.
  • Acceso a archivos.
Sobre esta última, las muestras investigadas estaban programadas para detectar y enviar al C&C distintos tipos de archivos, tales como logs que se encontraran en la memoria del dispositivo infectado, documentos de texto, hojas de cálculo, imágenes, y otros ficheros con extensiones .xml, .pdf, y .opus, que es el formato en el que se almacenan las notas de voz y audio de la aplicación WhatsApp.

Y es que este troyano ha seguido evolucionando según se puede extraer de lo expuesto y de las palabras de Tatyana Shishkova, experta en seguridad de Kaspersky. La investigadora sostiene que el hecho de que los actores detrás de GravityRAT hayan modificado la muestra para poder afectar a otros sistemas operativos y perpetrar ataques de forma más amplia, apoya la tendencia de que a los creadores de malware no solo les interesan los nuevos desarrollos, sino que también invierten en la evolución del código de malware ya existente, con la intención de tener el mayor éxito posible.

Fuente: SecureList

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!