La empresa de ciberseguridad Kaspersky describe el malware GravityRAT como «infame» porque se ha utilizado en ataques incluso contra objetivos militares y permite un gran control. Hasta hoy este virus sólo se encontraba disponible para ordenadores con Windows y dispositivos con Android. Sin embargo y aunque los Mac tienen sistemas operativos menos vulnerables que los demás, no significa que no puedan ser atacados. De hecho, este peligroso virus ya ha llegado a macOS.
Un poco de historia sobre el malware GravityRAT
En 2018, los investigadores de Cisco Talos publicaron que el software espía GravityRAT, estaba siendo utilizado para atacar a las fuerzas armadas indias. El Equipo de Respuesta a Emergencias Informáticas de ese país (CERT-IN) descubrió el troyano por primera vez en 2017. Se cree que sus creadores son grupos de piratas informáticos paquistaníes. La campaña ha estado activa desde al menos 2015 y anteriormente se dirigía a máquinas con Windows. Sin embargo, experimentó cambios en 2018, y los dispositivos Android se agregaron a la lista de objetivos.
En 2019, los ciberdelincuentes habían agregado un módulo de espionaje a Travel Mate, una aplicación de Android para viajeros a la India, cuyo código fuente está disponible en Github. Agregaron código malicioso y le cambiaron el nombre a Travel Mate Pro.
Las funciones del software son bastante corrientes. Envía a su servidor de administración los datos del dispositivo conteniendo:
- Lista de contactos
- La dirección de correo electrónico
- Los registros de llamadas y mensajes SMS.
- obtener una lista de procesos en ejecución
- Interceptar pulsaciones de teclas
- tomar capturas de pantalla
- Ejecutar comandos de shell arbitrarios
- Grabar audio (no implementado en esta versión)
- Escanear puertos
- El troyano busca archivos con las extensiones .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx y .opus en la memoria del dispositivo y en los medios conectados, y también los envía al servidor de administración.
En 2019, «The Times of India» publicó un artículo sobre los métodos que los ciberdelincuentes usaron para distribuir GravityRAT en 2015-2018. Se contactaba a las víctimas desde una cuenta falsa de Facebook y se les pedía que instalaran una aplicación maliciosa camuflada como una de mensajería segura para continuar la conversación. Se han identificado unos 100 casos de infección en los departamentos de defensa, la policía y otras organizaciones.
La llegada del software espía a nuestros Mac
Kaspersky sospechaba desde hace mucho tiempo que la herramienta se estaba utilizando contra otras plataformas, y ahora ha encontrado pruebas de ello. El análisis del módulo de direcciones de comando y control (C&C) utilizado, reveló varios módulos maliciosos adicionales. En general, se encontraron más de 10 versiones de GravityRAT, distribuidas bajo la apariencia de aplicaciones legítimas, como aplicaciones seguras para compartir archivos que ayudarían a proteger los dispositivos de los usuarios de los troyanos encriptados o reproductores multimedia. Usados juntos, estos módulos permitieron al grupo acceder al sistema operativo macOS.
Los Mac están relativamente bien protegidos contra los troyanos porque Apple revisa las aplicaciones permitidas en la Mac App Store y, de forma predeterminada, no permite la instalación de software de otras fuentes. Si un usuario anula la protección predeterminada, macOS aún verifica si la aplicación está firmada por un desarrollador legítimo. Sin embargo, BleepingComputer informa que el grupo detrás de GravityRAT utiliza firmas de desarrolladores robadas para que las aplicaciones parezcan legítimas.
No es posible enumerar las aplicaciones infectadas, ya que GravityRAT imita una variedad de aplicaciones legítimas. La mejor protección es asegurarse de que solo instale aplicaciones de Mac App Store o directamente de desarrolladores de su confianza. Del mismo modo, no conecte cables o dispositivos a su Mac a menos que sepa su procedencia.
Los expertos aseguran que actualmente los desarrolladores de este virus espía siguen manteniendo los mismos métodos de transmisión del mismo, es decir, a través de enlaces maliciosos insertados en entradas de redes sociales preferentemente. Así que sigamos siendo cautos. No nos bajemos aplicaciones de lugres no habilitados o al menos de sitios no contrastados a nivel de seguridad. No sigamos enlaces extraños que no conozcamos su procedencia. Si seguimos así, salvaremos los muebles.
