Windows GravityRAT Malware دستگاههای macOS و Android را نیز هدف قرار میدهد
تروجان دسترسی از راهدور مبتنی بر ویندوز که تصور میشود توسط گروههای هکر پاکستانی برای نفوذ به رایانه و سرقت اطلاعات کاربران طراحی شده است، پس از گذشت دو سال با قابلیتهای بازتولید شده برای هدف قرار دادن دستگاههای Android و macOS دوباره ظاهر شدند.
طبق گفته شرکت امنیت سایبری کسپرسکی، این بدافزار که "GravityRAT" نامیده میشود، تحت عنوان برنامههای قانونی Android و macOS مخفی میشود تا اطلاعات دستگاهها، لیستهای تماس، آدرسهای ایمیل و گزارش تماس و متن را ضبط کرده و به یک سرور کنترل شده توسط مهاجمان منتقل کند.
این تروجان اولین بار توسط تیم واکنش اضطراری رایانه هند CERT-In در آگوست 2017 و متعاقبا توسط سیسکو در آوریل 2018 ثبت شد، مشخص شده است که GravityRAT حداقل از سال 2015 از طریق اسناد ورد مایکروسافت آفیس، نهادها و سازمانهای هند را هدف قرار داده است.
سیسکو با اشاره به اینکه این تهدید کننده حداقل چهار نسخه مختلف از ابزار جاسوسی را توسعه داده است، گفت: "توسعه دهنده به اندازه کافی زیرک بود که این زیرساخت را ایمن نگه دارد و توسط هیچ فروشنده امنیتی در لیست سیاه قرار نگیرد."
همچنین مشخص شد که جاسوسان پاکستانی با استفاده از حسابهای جعلی فیسبوک با بیش از 98 مقام از نیروهای مختلف دفاع و سازمانها مانند ارتش هند، نیروی هوایی و نیروی دریایی ارتباط برقرار کرده و آنها را فریب داده تا بدافزاری را که به عنوان یک برنامه پیامرسان ایمن به نام Whisper مبدل شده است، نصب کنند.
اما حتی همانطور که آخرین تکامل GravityRAT فراتر از قابلیتهای فرار از ضدبدافزار است برای به دست آوردن پشتیبانی از چند سیستمعامل از جمله Android و macOS عملکرد کلی یکسان است: ارسال پیوندهای اهداف به اندروید محصور شده مانند (Travel Mate Pro) و برنامههای macOS مانند Titanium،Enigma برای توزیع بدافزار.
کسپرسکی گفت که بیش از ده نسخه از GravityRAT را پیدا کرده است که تحت عنوان برنامههای قانونی با ارجاع متقابل به آدرسهای فرمان و کنترل cross-referencing the command-and-Vcontrol (C2) استفاده شده توسط Trojan توزیع میشوند.
درمجموع، برنامههای تروجان شده در سرتاسر سفر، به اشتراکگذاری فایل، پخش کنندههای رسانهای و دستههای کمیک بزرگسالان، به کاربران Android، macOS و ویندوز ارائه میشود، در نتیجه به مهاجمان اجازه میدهد تا اطلاعات سیستم، اسناد با پسوندهای خاص و لیستی از موارد در حال اجرا را بدست آورند. پردازش میکند، ضربات کلید را ضبط میکند و از صفحه عکس میگیرد و حتی دستورات دلخواه Shell را اجرا میکند.
تاتیانا شیشکووا از کسپرسکی گفت: "تحقیقات ما نشان داد که بازیگر پشت صحنه GravityRAT به سرمایهگذاری در ظرفیتهای جاسوسی خود ادامه میدهد."
"پنهانسازی حیلهگرانه و نمونه کارهای گسترده سیستمعامل نه تنها به ما اجازه میدهد بگوییم که میتوان انتظار وقوع حوادث بیشتری را با این بدافزار در منطقه APAC داشت، بلکه این روند گستردهتر را پشتیبانی میکند که کاربران مخرب لزوماً در توسعه بدافزارهای جدید متمرکز نیستند، بلکه بهجای آن، در تلاش برای موفقیت هرچه بیشتر، در توسعه موارد مخرب هستند."