Компанія з кібербезпеки Kaspersky описує шкідливе програмне забезпечення GravityRAT як "сумнозвісне", оскільки воно використовувалося в атаках навіть на військові цілі і забезпечує великий контроль. До сьогодні цей вірус був доступний лише для комп’ютерів з ОС Windows та пристроїв Android. Однак, і хоча Mac мають менш вразливі операційні системи, ніж інші, це не означає, що на них не можна атакувати. Насправді, Цей небезпечний вірус вже досяг macOS.
Трохи довідкової інформації про шкідливе програмне забезпечення GravityRAT
У 2018 році дослідники Cisco Talos опублікували, що шпигунське програмне забезпечення GravityRAT використовується для нападу на збройні сили Індії. Команда комп'ютерного реагування на надзвичайні ситуації (CERT-IN) вперше виявила троян у 2017 році. Вважається, що його творцями є пакистанські хакерські групи. Кампанія активна щонайменше з 2015 року і раніше була націлена на машини Windows. Однак у 2018 році він зазнав змін, і пристрої Android були додані до цільового списку.
У 2019 році кіберзлочинці додали шпигунський модуль до Travel Mate, додатку для Android для мандрівників до Індії, вихідний код якого доступний на Github. Вони додали шкідливий код і перейменували його на Travel Mate Pro.
Функції програмного забезпечення цілком звичайні. Надішліть на сервер адміністрування дані пристрою, що містять:
- Список контактів
- Адреса електронна пошта
- Записи дзвінки та повідомлення СМС.
- дістати список запущених процесів
- Перехопити натискання клавіш
- брати скріншоти
- пробіг команди оболонки довільний
- Запис аудіо (не реалізовано в цій версії)
- Сканувати порти
- Троянець шукає файли з розширеннями .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx та .opus у пам'ять пристрою та підключений носій, а також надсилає їх на сервер управління.
У 2019 році "The Times of India" опублікував стаття про методи використання кіберзлочинців для поширення GravityRAT у 2015-2018 роках. я знаю зв’язався з жертвами з підробленого акаунта Facebook і їм було запропоновано встановити шкідливу програму під виглядом безпечного месенджера для продовження розмови. Близько 100 випадків зараження було виявлено у відомствах оборони, поліції та інших організаціях.
Прибуття шпигунського програмного забезпечення на наших Mac
Касперський давно підозрював, що інструмент використовується проти інших платформ, і зараз він знайшов докази цього. Аналіз використовуваного адресного модуля управління та управління (C&C) виявив кілька додаткових шкідливих модулів. Загалом, сЗнайдено більше 10 версій GravityRAT, розповсюджується під виглядом законних програм, таких як захищені програми обміну файлами, які допоможуть захистити пристрої користувачів від зашифрованих троянських програм або медіаплеєрів. Використовувані разом, ці модулі дозволили групі отримати доступ до операційної системи macOS.
Маки порівняно добре захищені від троянських програм Оскільки Apple перевіряє дозволені програми в магазині Mac App Store і за замовчуванням не дозволяє встановлювати програмне забезпечення з інших джерел. Якщо користувач замінює захист за замовчуванням, macOS все одно перевіряє, чи додаток підписаний законним розробником. Однак, BleepingComputer повідомляє, що група, яка стоїть за GravityRAT, використовує викрадені підписи розробників, щоб зробити програми схожими на законні.
Неможливо перерахувати заражені програми, оскільки GravityRAT імітує безліч законних програм. Найкращий захист - це переконатися, що ви встановлюєте програми лише з магазину Mac App Store або безпосередньо від розробників, яким довіряєте. Так само не підключайте кабелі чи пристрої до свого Mac, якщо не знаєте, звідки вони взялися.
Експерти стверджують, що в даний час розробники цього вірусу-шпигуна продовжувати підтримувати однакові методи передачі тих самих, тобто бажано за допомогою зловмисних посилань, вставлених у публікаціях у соціальних мережах. Тож продовжуймо бути обережними. Ми не завантажуємо додатки з неактивованих місць або принаймні з сайтів, не перевірених на рівні безпеки. Не будемо переходити за дивними посиланнями, які ми не знаємо, звідки вони беруться. Якщо ми будемо продовжувати так, ми збережемо меблі.
