Шпион GravityRAT портирован на Android и macOS

Шпион GravityRAT портирован на Android и macOS

Шпион GravityRAT портирован на Android и macOS

Исследователи из «Лаборатории Касперского» обнаружили новые варианты шпионской программы GravityRAT, которые способны атаковать не только Windows, но также macOS и Android.

Названный вредонос был впервые обнаружен в 2017 году в ходе целевых атак на территории Индии. Злоумышленники связывались с намеченной жертвой в Facebook и просили для продолжения беседы установить защищенный мессенджер, а на самом деле — программу-шпион для Windows. К 2018 году индийские эксперты выявили около 100 заражений в оборонных ведомствах, полицейских подразделениях и других организациях.

Анализ, позднее проведенный в подразделении Talos компании Cisco, показал, что после запуска GravityRAT проверяет зараженный компьютер на наличие виртуальных машин и песочниц, собирает информацию о системе, загружает со своего сервера полезную нагрузку и добавляет запланированное задание, чтобы обеспечить себе постоянное присутствие.

По данным Kaspersky, целевые атаки с использованием GravityRAT проводятся как минимум с 2015 года. В прошлом году исследователи обнаружили на VirusTotal схожего шпиона, внедренного в Android-приложение Travel Mate. Имя троянизированной программы для путешественников по Индии вирусописатели изменили на Travel Mate Pro.

 

Функции Android-версии GravityRAT оказались типовыми: шпион ищет и отправляет своим хозяевам данные о зараженном устройстве, список контактов, адреса email, логи звонков и SMS. Зловред также умеет отыскивать в памяти устройства и на сменных носителях документы в форматах .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx и .opus.

Командный сервер, который Android-шпион использовал как хранилище краденых данных, уже засветился в других вредоносных кампаниях. Проверка его IP-адреса выявила ряд доменов, используемых для распространения новых вариантов GravityRAT, работающих под Windows, macOS и Android. Все сайты, отдающие эти вредоносные программы, размещены в CDN-сети Cloudflare, что затрудняет определение реального IP-адреса.

Проанализированные в Kaspersky образцы GravityRAT написаны на .NET, Python и фреймворке Electron. Многие из них подписаны действующими сертификатами, выданными на имя существующих компаний. Распространяются новые модификации по-прежнему — вместе с копиями легитимных приложений.

«С достаточной уверенностью можно предположить, что текущая кампания GravityRAT использует схожие методы — ссылки на вредоносные приложения злоумышленники отправляют конкретным жертвам, —  резюмируют эксперты. — Главное изменение в новой кампании GravityRAT — мультиплатформенность: наряду с Windows, появились версии под Android и macOS. Злоумышленники также стали использовать цифровые подписи, чтобы повысить легитимность приложений».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники воруют данные через поддельные WhatsApp-чаты для пенсионеров

Злоумышленники начали использовать поддельные чаты в WhatsApp (принадлежит признанной в России экстремистской организации и запрещенной корпорации Meta) для кражи персональных данных. Такие чаты якобы создаются для бывших сотрудников организаций.

О новой схеме мошенников РИА Новости сообщил директор продукта «Защитник» МТС Андрей Бийчук. По его словам, основной целью преступников становятся пенсионеры.

Мошенники создают фальшивые чаты, куда добавляют реальные имена действующих или бывших сотрудников, чтобы вызвать доверие у потенциальной жертвы. Затем в чате появляется «руководитель», который сообщает о техническом сбое и потере базы данных работников.

Якобы из-за этого могут возникнуть проблемы с начислением пенсии или стаж не будет засчитан. Для восстановления предлагается отправить пакет документов: паспортные данные, СНИЛС, дипломы, номер договора и другие личные сведения.

В отдельных случаях аферисты пытаются убедить жертву подтвердить данные через портал Госуслуг. Для этого они требуют доступ к учетной записи.

«Особенно уязвимы люди старшего возраста. Это типичная схема хищения персональных данных. Получив их, злоумышленники могут оформить кредиты на имя жертвы, получить доступ к банковским счетам или перепродать сведения на теневых рынках», — предупредил Андрей Бийчук.

Напомним, в начале лета УБК МВД фиксировало распространение похожей схемы, нацеленной в первую очередь на сотрудников медицинских и образовательных учреждений.

Кроме того, в августе в Санкт-Петербурге мошенники массово распространяли дипфейк с губернатором города. Жителей пытались обмануть, выманивая личные данные под предлогом участия в видеоконференции.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru