Společnost Cybersecurity Kaspersky popisuje malware GravityRAT jako „nechvalně známý“, protože byl použit při útocích i proti vojenským cílům a umožňuje velkou kontrolu. Dodnes byl tento virus k dispozici pouze pro počítače se systémem Windows a zařízení Android. Přestože Macy mají méně zranitelné operační systémy než ostatní, neznamená to, že na ně nelze zaútočit. Ve skutečnosti, Tento nebezpečný virus již dosáhl systému macOS.
Malé pozadí o malwaru GravityRAT
V roce 2018 vědci společnosti Cisco Talos zveřejnili, že spyware GravityRAT byl používán k útoku na indické ozbrojené síly. Tým počítačové Emergency Response (CERT-IN) této země poprvé objevil trojského koně v roce 2017. Jeho tvůrci jsou považováni za pákistánské hackerské skupiny. Kampaň je aktivní nejméně od roku 2015 a dříve byla zaměřena na počítače se systémem Windows. V roce 2018 však prošel změnami a do cílového seznamu byla přidána zařízení Android.
V roce 2019 přidali kybernetičtí zločinci špionážní modul do aplikace Travel Mate, aplikace pro Android pro cestující do Indie, jejíž zdrojový kód je k dispozici na Githubu. Přidali škodlivý kód a přejmenovali jej na Travel Mate Pro.
Funkce softwaru jsou zcela běžné. Odeslat na server pro správu data zařízení obsahující:
- Seznam kontakty
- Adresa e-mail
- Záznamy o hovory a zprávy SMS
- dostat seznam spuštěných procesů
- Zachytit stisknutí kláves
- tomar snímky obrazovky
- běh příkazy prostředí libovolný
- Záznam zvuku (není implementováno v této verzi)
- Skenovat porty
- Trojský kůň hledá soubory s příponami .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx a .opus v paměť zařízení a připojená média, a také je odešle na server pro správu.
V roce 2019 „The Times of India“ zveřejnil a článek o metodách, které kyberzločinci použili k distribuci GravityRAT v letech 2015--2018. vím kontaktované oběti z falešného účtu na Facebooku a byli požádáni, aby nainstalovali škodlivou aplikaci maskovanou jako zabezpečený posel, aby pokračovali v konverzaci. Asi 100 případů infekce bylo zjištěno v resortech obrany, policii a dalších organizacích.
Příchod spywaru na naše počítače Mac
Společnost Kaspersky dlouho měla podezření, že se tento nástroj používá proti jiným platformám, a nyní o tom našla důkazy. Analýza použitého modulu adresy příkazového a ovládacího modulu (C&C) odhalila několik dalších škodlivých modulů. Obecně platí, že sNašli jsme více než 10 verzí GravityRAT, distribuovány pod rouškou legitimních aplikací, jako jsou aplikace pro bezpečné sdílení souborů, které pomáhají chránit zařízení uživatelů před šifrovanými trojskými koni nebo přehrávači médií. Společně tyto moduly umožňovaly skupině přístup k operačnímu systému macOS.
Počítače Mac jsou relativně dobře chráněny před trojskými koňmi Protože Apple kontroluje povolené aplikace v Mac App Store a ve výchozím nastavení neumožňuje instalaci softwaru z jiných zdrojů. Pokud uživatel přepíše výchozí ochranu, macOS stále kontroluje, zda je aplikace podepsána legitimním vývojářem. Nicméně, BleepingComputer hlásí, že skupina za GravityRAT používá ukradené podpisy vývojářů, aby aplikace vypadaly legitimně.
Infikované aplikace nelze zobrazit, protože GravityRAT napodobuje řadu legitimních aplikací. Nejlepší ochranou je zajistit, abyste instalovali pouze aplikace z Mac App Store nebo přímo od vývojářů, kterým důvěřujete. Stejně tak nepřipojujte k Macu kabely ani zařízení, pokud nevíte, odkud pocházejí.
Odborníci tvrdí, že v současné době vývojáři tohoto špionážního viru nadále udržují stejné přenosové metody, to znamená nejlépe prostřednictvím škodlivých odkazů vložených do příspěvků na sociálních médiích. Budeme tedy i nadále opatrní. Nestahujeme aplikace z nepovolených míst nebo alespoň ze stránek neověřených na úrovni zabezpečení. Nesledujme podivné odkazy, o kterých nevíme, odkud pocházejí. Pokud budeme takto pokračovat, zachráníme nábytek.
