L'empresa de ciberseguretat Kaspersky descriu el codi maliciós GravityRAT com a «infame» perquè s'ha utilitzat en atacs fins i tot contra objectius militars i permet un gran control. Fins avui aquest virus només estava disponible per a ordinadors amb Windows i dispositius amb Android. Tot i això i encara que els Mac tenen sistemes operatius menys vulnerables que els altres, no significa que no puguin ser atacats. De fet, aquest perillós virus ja ha arribat a macOS.
Una mica d'història sobre el codi maliciós GravityRAT
El 2018, els investigadors de Cisco Talos van publicar que el programari espia GravityRAT, estava sent utilitzat per atacar les forces armades índies. L'equip de resposta a emergències informàtiques d'aquest país (CERT-IN) va descobrir el troià per primera vegada el 2017. Es creu que els seus creadors són grups de pirates informàtics pakistanesos. La campanya ha estat activa des de com a mínim 2015 i anteriorment es dirigia a màquines amb Windows. Tot i això, va experimentar canvis el 2018, i els dispositius Android es van afegir a la llista d'objectius.
El 2019, els ciberdelinqüents havien afegit un mòdul d'espionatge a Travel Mate, una aplicació d'Android per a viatgers a l'Índia, el codi font del qual està disponible a Github. Van afegir codi maliciós i van canviar el nom a Travel Mate Pro.
Les funcions del programari són força corrents. Envieu al vostre servidor d'administració les dades del dispositiu contenint:
- llista de contactes
- La direcció de correu electrònic
- Els registres de trucades i missatges SMS.
- obtenir una llista de processos en execució
- interceptar pulsacions de tecles
- prendre captures de pantalla
- executar ordres de shell arbitraris
- gravar àudio (no implementat en aquesta versió)
- Escanejar ports
- El troià cerca fitxers amb les extensions .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx i .opus a la memòria del dispositiu i als mitjans connectats, i també els envieu al servidor d'administració.
El 2019, The Times of India va publicar un article sobre els mètodes que els ciberdelinqüents van fer servir per distribuir GravityRAT el 2015-2018. Es contactava les víctimes des d'un compte fals de Facebook i se'ls demanava que instal·lessin una aplicació maliciosa camuflada com una de missatgeria segura per continuar la conversa. S'han identificat uns 100 casos d'infecció als departaments de defensa, la policia i altres organitzacions.
L'arribada del programari espia als nostres Mac
Kaspersky sospitava des de fa molt de temps que l'eina s'estava utilitzant contra altres plataformes, i ara n'ha trobat proves. L'anàlisi del mòdul d'adreces de comandament i control (C&C) utilitzat va revelar diversos mòduls maliciosos addicionals. En general, si van trobar més de 10 versions de GravityRAT, distribuïdes sota l'aparença d'aplicacions legítimes, com a aplicacions segures per compartir fitxers que ajudarien a protegir els dispositius dels usuaris dels troians encriptats o reproductors multimèdia. Usats junts, aquests mòduls van permetre al grup accedir al sistema operatiu macOS.
Els Mac estan relativament ben protegits contra els troians perquè Apple revisa les aplicacions permeses a la Mac App Store i, per defecte, no permet la instal·lació de programari d'altres fonts. Si un usuari anul·la la protecció per defecte, macOS encara verifica si l'aplicació està signada per un desenvolupador legítim. No obstant això, BleepingComputer informa que el grup darrere de GravityRAT utilitza firmes de desenvolupadors robades perquè les aplicacions semblin legítimes.
No es poden enumerar les aplicacions infectades, ja que GravityRAT imita una varietat d'aplicacions legítimes. La millor protecció és assegurar-se que només instal·leu aplicacions de Mac App Store o directament de desenvolupadors de la vostra confiança. De la mateixa manera, no connecteu cables o dispositius al vostre Mac a no ser que en sapigueu la procedència.
Els experts asseguren que actualment els desenvolupadors daquest virus espia segueixen mantenint els mateixos mètodes de transmissió del mateix, és a dir, mitjançant enllaços maliciosos inserits en entrades de xarxes socials preferentment. Així que seguim sent prudents. No ens abaixem aplicacions de lugres no habilitats o almenys de llocs no contrastats a nivell de seguretat. No seguim enllaços estranys que no en coneguem la procedència. Si seguim així, salvarem els mobles.
