Compania de securitate cibernetică Kaspersky descrie malware-ul GravityRAT ca fiind „infam”, deoarece a fost folosit în atacuri chiar și împotriva țintelor militare și permite un control ridicat. Până astăzi acest virus era disponibil doar pentru computerele Windows și dispozitivele Android. Cu toate acestea, și deși Mac-urile au sisteme de operare mai puțin vulnerabile decât altele, nu înseamnă că nu pot fi atacate. De fapt, Acest virus periculos a ajuns deja la macOS.
Un mic background despre malware-ul GravityRAT
În 2018, cercetătorii Cisco Talos au publicat că programele spion GravityRAT erau folosite pentru a ataca forțele armate indiene. Echipa de intervenție în caz de urgență computerizată (CERT-IN) a acelei țări a descoperit troianul în 2017. Se crede că creatorii săi sunt grupuri de hackeri pakistanezi. Campania a fost activă cel puțin din 2015 și a vizat anterior mașinile Windows. Cu toate acestea, a suferit modificări în 2018, iar dispozitivele Android au fost adăugate pe lista țintelor.
În 2019, infractorii cibernetici au adăugat un modul de spionaj la Travel Mate, o aplicație Android pentru călătorii în India, al cărei cod sursă este disponibil pe Github. Au adăugat cod rău intenționat și l-au redenumit Travel Mate Pro.
Funcțiile software-ului sunt destul de obișnuite. Trimiteți la serverul dvs. de management datele dispozitivului care conțin:
- Lista Contacte
- Adresa de e-mail
- Înregistrările apeluri și mesaje mesaj
- obtine o lista proceselor care rulează
- Intercepta apăsări de taste
- lua capturi de ecran
- Alerga comenzi shell arbitrar
- Înregistrați audio (neimplementat în această versiune)
- Porturi de scanare
- Troianul caută fișiere cu extensiile .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx și .opus în memoria dispozitivului și media conectată, și le trimite, de asemenea, la serverul de administrare.
În 2019, „The Times of India” a publicat un articol despre metodele utilizate de infractorii cibernetici pentru a distribui GravityRAT în 2015-2018. stiu a contactat victimele dintr-un cont fals de Facebook și li s-a cerut să instaleze o aplicație rău intenționată deghizată în mesager securizat pentru a continua conversația. Aproximativ 100 de cazuri de infecție au fost identificate în departamentele de apărare, poliție și alte organizații.
Sosirea programelor spyware pe computerele noastre Mac
Kaspersky bănuia de mult că instrumentul este folosit împotriva altor platforme, iar acum a găsit dovezi în acest sens. Analiza modulului de comandă și control (C&C) utilizat a relevat mai multe module malware dăunătoare. În general, artAm găsit mai mult de 10 versiuni ale GravityRAT, distribuite sub masca unor aplicații legitime, cum ar fi aplicații sigure de partajare a fișierelor care ar ajuta la protejarea dispozitivelor utilizatorilor de troieni criptati sau playere media. Utilizate împreună, aceste module au permis grupului să acceseze sistemul de operare macOS.
Mac-urile sunt relativ bine protejate împotriva troienilor Deoarece Apple examinează aplicațiile permise de pe Mac App Store și implicit nu permite instalarea software-ului din alte surse. Dacă un utilizator suprascrie protecția implicită, macOS verifică în continuare dacă aplicația este semnată de un dezvoltator legitim. In orice caz, BleepingComputer raportează că grupul din spatele GravityRAT folosește semnături furate pentru dezvoltatori pentru ca aplicațiile să pară legitime.
Imposibil de listat aplicațiile infectate, deoarece GravityRAT imită o varietate de aplicații legitime. Cea mai bună protecție este să vă asigurați că instalați numai aplicații din Mac App Store sau direct de la dezvoltatorii de încredere. La fel, nu conectați cabluri sau dispozitive la computerul dvs. Mac decât dacă știți de unde au venit.
Experții spun că în prezent dezvoltatorii acestui virus spion să mențină aceleași metode de transmitere a acelorași, adică de preferință prin link-uri rău intenționate inserate în postările de pe rețelele de socializare. Deci, să continuăm să fim precauți. Nu descărcăm aplicații din locuri neactivate sau cel puțin de pe site-uri care nu au fost verificate la nivel de securitate. Să nu urmărim legături ciudate pe care nu știm de unde provin. Dacă vom continua așa, vom salva mobilierul.
