Шпион GravityRAT портирован на Android и macOS

Шпион GravityRAT портирован на Android и macOS

Шпион GravityRAT портирован на Android и macOS

Исследователи из «Лаборатории Касперского» обнаружили новые варианты шпионской программы GravityRAT, которые способны атаковать не только Windows, но также macOS и Android.

Названный вредонос был впервые обнаружен в 2017 году в ходе целевых атак на территории Индии. Злоумышленники связывались с намеченной жертвой в Facebook и просили для продолжения беседы установить защищенный мессенджер, а на самом деле — программу-шпион для Windows. К 2018 году индийские эксперты выявили около 100 заражений в оборонных ведомствах, полицейских подразделениях и других организациях.

Анализ, позднее проведенный в подразделении Talos компании Cisco, показал, что после запуска GravityRAT проверяет зараженный компьютер на наличие виртуальных машин и песочниц, собирает информацию о системе, загружает со своего сервера полезную нагрузку и добавляет запланированное задание, чтобы обеспечить себе постоянное присутствие.

По данным Kaspersky, целевые атаки с использованием GravityRAT проводятся как минимум с 2015 года. В прошлом году исследователи обнаружили на VirusTotal схожего шпиона, внедренного в Android-приложение Travel Mate. Имя троянизированной программы для путешественников по Индии вирусописатели изменили на Travel Mate Pro.

 

Функции Android-версии GravityRAT оказались типовыми: шпион ищет и отправляет своим хозяевам данные о зараженном устройстве, список контактов, адреса email, логи звонков и SMS. Зловред также умеет отыскивать в памяти устройства и на сменных носителях документы в форматах .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx и .opus.

Командный сервер, который Android-шпион использовал как хранилище краденых данных, уже засветился в других вредоносных кампаниях. Проверка его IP-адреса выявила ряд доменов, используемых для распространения новых вариантов GravityRAT, работающих под Windows, macOS и Android. Все сайты, отдающие эти вредоносные программы, размещены в CDN-сети Cloudflare, что затрудняет определение реального IP-адреса.

Проанализированные в Kaspersky образцы GravityRAT написаны на .NET, Python и фреймворке Electron. Многие из них подписаны действующими сертификатами, выданными на имя существующих компаний. Распространяются новые модификации по-прежнему — вместе с копиями легитимных приложений.

«С достаточной уверенностью можно предположить, что текущая кампания GravityRAT использует схожие методы — ссылки на вредоносные приложения злоумышленники отправляют конкретным жертвам, —  резюмируют эксперты. — Главное изменение в новой кампании GravityRAT — мультиплатформенность: наряду с Windows, появились версии под Android и macOS. Злоумышленники также стали использовать цифровые подписи, чтобы повысить легитимность приложений».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

За 5 лет количество компаний в сфере кибербезопасности выросло на треть

За последние пять лет число компаний, работающих в сфере кибербезопасности, выросло на 38 % и достигло 11,5 тысячи против 8400 в 2020 году. Причём рост продолжается. По мнению авторов исследования, ключевыми драйверами рынка стали государственная поддержка, усложнение киберугроз и ужесточение регуляторных требований в области информационной безопасности.

Такие данные представлены в совместном исследовании сервисов «Контур.Эгида» и «Контур.Фокус». Его итоги привёл «Коммерсантъ».

Лидерами по количеству зарегистрированных ИБ-компаний стали Москва (4,2 тыс. юрлиц), Санкт-Петербург (1 тыс.) и Московская область (949 юрлиц). Однако наибольшие темпы роста зафиксированы в Республике Калмыкия (+566 %), Чеченской Республике (+333 %) и Республике Ингушетия (+200 %).

Авторы исследования объясняют это влиянием налоговых и административных стимулов. При этом регистрация в определённом регионе не всегда означает фактическое присутствие компании, но влияет на статистику.

Также отмечено почти двукратное увеличение числа разработчиков средств защиты информации и защищённых систем. В эту категорию входят клиентские устройства (в том числе мобильные), системы связи и специализированное оборудование в защищённом исполнении. Основная целевая аудитория таких решений — государственные структуры.

«Существенную часть роста обеспечивает госзаказ, который формирует стабильный спрос на защищённую технику отечественного производства», — подчёркивают эксперты «Контур.Эгида».

Ещё одним драйвером рынка, по мнению опрошенных изданием экспертов, стало появление спроса на ИБ-решения со стороны малого и среднего бизнеса. Как отметил сооснователь компании Swordfish Security Юрий Сергеев, ранее этот сегмент практически не использовал средства информационной безопасности. Сейчас запрос на защищённость появился, однако представители малого бизнеса чаще отдают предпочтение решениям с открытым исходным кодом.

Технический директор «Лаборатории Касперского» Евгений Бударин также отметил предпосылки для роста рынка ИБ-аутсорсинга. В сегменте малого бизнеса это касается услуг по мониторингу, в сегменте крупного — оценки защищённости инфраструктуры.

Оценки перспектив дальнейшего роста рынка среди экспертов расходятся. Так, в ГК «Солар» считают, что текущего числа игроков недостаточно.

«Многие сегменты представлены либо одним монополистом, либо решениями, которые по качеству уступают продуктам ушедших иностранных компаний», — отметил коммерческий директор IT Task Антон Головатый.

При этом распространено мнение, что значительная часть компаний пока не располагает зрелыми решениями. Ещё одной ограничивающей проблемой остаётся дефицит квалифицированных кадров, который лишь усиливается по мере роста отрасли.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru