网络安全公司卡巴斯基将GravityRAT恶意软件描述为“臭名昭著”,因为该恶意软件甚至被用于攻击军事目标,并具有强大的控制力。 直到今天,该病毒仅适用于Windows计算机和Android设备。 但是,尽管Mac具有比其他操作系统更少的脆弱操作系统,但这并不意味着它们无法受到攻击。 实际上, 该危险病毒已经传播到macOS。
关于GravityRAT恶意软件的一些背景
在2018年,思科Talos研究人员发布了GravityRAT间谍软件用于攻击印度武装部队的情况。 该国的计算机紧急响应小组(CERT-IN)于2017年首次发现了该木马。 它的创造者被认为是巴基斯坦黑客团体。 该活动至少从2015年开始活跃,并且以前针对Windows机器。 但是,它在2018年进行了更改,并且Android设备已添加到目标列表中。
在2019年,网络罪犯向Travel Mate添加了一个间谍模块,Travel Mate是一款面向印度旅客的Android应用程序,其源代码可在Github上获得。 他们添加了恶意代码,并将其重命名为Travel Mate Pro。
该软件的功能很普通。 发送到您的管理服务器 设备数据包含:
- 名单 contactos
- 的地址 电子邮件
- 的记录 通话和短信 短信。
- 得到一个 正在运行的进程列表
- 截距 击键
- 托马尔 截图
- Ejecutar 外壳命令 随意的
- 录音 (此版本未实现)
- 扫描端口
- 该木马会在以下位置搜索扩展名为.jpg,.jpeg,.log,.png,.txt,.pdf,.xml,.doc,.xls,.xlsx,.ppt,.pptx,.docx和.opus的文件设备内存和连接的媒体, 并将它们发送到管理服务器。
2019年,《印度时报》发表了一篇 危象 关于网络罪犯在2015-2018年间分发GravityRAT的方法。 我知道 从假的Facebook帐户联系受害者 然后要求他们安装伪装成安全通讯工具的恶意应用程序以继续进行对话。 在国防部门,警察和其他组织中,已经发现约100例感染病例。
Mac上间谍软件的到来
卡巴斯基长期以来一直怀疑该工具已在其他平台上使用,现在已经找到了证据。 对所使用的命令和控制(C&C)地址模块的分析显示了另外几个恶意模块。 通常,s找到了超过10个版本的GravityRAT, 以合法应用程序为幌子分发的文件,例如安全的文件共享应用程序,可以帮助保护用户的设备免受加密的特洛伊木马或媒体播放器的侵害。 这些模块一起使用,允许组访问macOS操作系统。
Mac对木马的防护相对较好 因为Apple会在Mac App Store上审查允许的应用程序,并且默认情况下不允许从其他来源安装软件。 如果用户超越了默认保护,macOS仍会检查该应用程序是否由合法的开发人员签名。 尽管如此, BleepingComputer 报告说GravityRAT背后的小组使用被盗的开发人员签名使应用程序看起来合法。
无法列出受感染的应用,因为GravityRAT模仿了各种合法应用程序。 最好的保护是确保仅从Mac App Store或直接从您信任的开发人员安装应用程序。 同样,除非知道电缆或设备的来源,否则请勿将它们连接到Mac。
专家说,目前这种间谍病毒的开发商 继续保持相同的传输方式, 也就是说,最好是通过插入社交媒体帖子中的恶意链接。 因此,让我们继续保持谨慎。 我们不要从未启用的位置下载应用程序,至少不要从未经安全性级别验证的站点下载应用程序。 我们不要追踪我们不知道它们来自何处的奇怪链接。 如果我们继续这样,我们将节省家具。
