A empresa de segurança cibernética Kaspersky descreve o malware GravityRAT como "infame" porque tem sido usado em ataques até mesmo contra alvos militares e permite um grande controle. Até hoje, esse vírus estava disponível apenas para computadores Windows e dispositivos Android. No entanto, embora os Macs tenham sistemas operacionais menos vulneráveis do que outros, isso não significa que eles não possam ser atacados. De fato, Este vírus perigoso já atingiu o macOS.
Algumas informações sobre o malware GravityRAT
Em 2018, os pesquisadores do Cisco Talos publicaram que o spyware GravityRAT estava sendo usado para atacar as forças armadas indianas. A Equipe de Resposta a Emergências de Computadores (CERT-IN) daquele país descobriu o cavalo de Tróia pela primeira vez em 2017. Acredita-se que seus criadores sejam grupos de hackers paquistaneses. A campanha está ativa desde pelo menos 2015 e anteriormente visava máquinas Windows. No entanto, ele passou por mudanças em 2018 e os dispositivos Android foram adicionados à lista de alvos.
Em 2019, os cibercriminosos adicionaram um módulo espião ao Travel Mate, um aplicativo Android para viajantes à Índia, cujo código-fonte está disponível no Github. Eles adicionaram um código malicioso e o renomearam como Travel Mate Pro.
As funções do software são bastante comuns. Envie para o seu servidor de gerenciamento dados do dispositivo contendo:
- lista de contatos
- O endereço de e-mail
- Os registros de chamadas e mensagens SMS.
- obter um lista de processos em execução
- interceptar teclas
- tomar Capturas de tela
- corrida comandos do shell arbitrário
- Gravar audio (não implementado nesta versão)
- Portas de digitalização
- O cavalo de Tróia procura arquivos com as extensões .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx e .opus em a memória do dispositivo e mídia conectada, e também os envia para o servidor de gerenciamento.
Em 2019, "The Times of India" publicou um artículo sobre os métodos que os cibercriminosos usaram para distribuir o GravityRAT em 2015-2018. eu sei contatou vítimas de uma conta falsa do Facebook e eles foram solicitados a instalar um aplicativo malicioso disfarçado de mensageiro seguro para continuar a conversa. Cerca de 100 casos de infecção foram identificados nos departamentos de defesa, polícia e outras organizações.
A chegada do spyware em nossos Macs
A Kaspersky há muito suspeitava que a ferramenta estava sendo usada contra outras plataformas e agora encontrou evidências disso. A análise do módulo de endereço de comando e controle (C&C) usado revelou vários módulos maliciosos adicionais. Em geral, sencontramos mais de 10 versões do GravityRAT, distribuído sob o disfarce de aplicativos legítimos, como aplicativos de compartilhamento seguro de arquivos que ajudariam a proteger os dispositivos dos usuários contra cavalos de Troia ou reprodutores de mídia criptografados. Usados juntos, esses módulos permitiram que o grupo acessasse o sistema operacional macOS.
Macs são relativamente bem protegidos contra cavalos de Tróia Porque a Apple analisa os aplicativos permitidos na Mac App Store e, por padrão, não permite a instalação de software de outras fontes. Se um usuário anula a proteção padrão, o macOS ainda verifica se o aplicativo foi assinado por um desenvolvedor legítimo. Porém, BleepingComputer relata que o grupo por trás do GravityRAT usa assinaturas de desenvolvedores roubadas para fazer os aplicativos parecerem legítimos.
Não é possível listar aplicativos infectados, já que o GravityRAT imita uma variedade de aplicativos legítimos. A melhor proteção é certificar-se de instalar apenas aplicativos da Mac App Store ou diretamente de desenvolvedores nos quais você confia. Da mesma forma, não conecte cabos ou dispositivos ao seu Mac, a menos que você saiba de onde eles vieram.
Especialistas garantem que atualmente os desenvolvedores deste vírus espião continue a manter os mesmos métodos de transmissão, ou seja, preferencialmente por meio de links maliciosos inseridos em postagens de mídia social. Portanto, vamos continuar a ser cautelosos. Não vamos baixar aplicativos de locais não habilitados ou pelo menos de sites não verificados no nível de segurança. Não vamos seguir links estranhos que não sabemos de onde vêm. Se continuarmos assim, vamos guardar os móveis.
