Componentă spyware identificată pe Android, necunoscută anterior

Autor: Andreea Tobias Postat la 19 octombrie 2020 44 afişări

Componentă spyware identificată pe Android, necunoscută anterior

Kaspersky a identificat o componentă spyware pe Android, necunoscută anterior. Modul malware a fost introdus într-o aplicaţie de călătorie pentru utilizatorii indieni. 

O analiză detaliată a evidenţiat că aceasta era legată de GravityRAT, un troian de tip Remote Access Trojan (RAT), de spionaj, cunoscut pentru activităţile desfăşurate în India.

Investigaţiile ulterioare au confirmat că grupul din spatele acestui malware a depus eforturi în scopul creării unui instrument multiplatformă. Pe lângă direcţionarea către sistemele de operare Windows, acesta poate fi folosit acum pe Android şi Mac OS.

Campania este încă activă.

În 2018, cercetătorii în domeniul securităţii cibernetice au publicat o analiză detaliată asupra evoluţiei GravityRAT. Instrumentul a fost utilizat în atacuri direcţionate împotriva serviciilor militare indiene. Conform datelor Kaspersky, campania a fost activă cel puţin din anul 2015, fiind concentrată mai ales pe sistemele de operare Windows. Cu câţiva ani în urmă, însă, situaţia s-a schimbat, iar grupul a adăugat sistemul Android pe lista ţintelor sale.

Modulul identificat a fost încă o dovadă a acestei schimbări şi au existat mai multe motive pentru care nu arăta ca o componentă tipică de spyware Android. De exemplu, trebuie selectată o anumită aplicaţie pentru a desfăşura activităţi rău intenţionate, iar codul folosit – aşa cum se întâmplă adesea – nu se baza pe codul unor aplicaţii spyware cunoscute până acum. Acest lucru i-a motivat pe cercetătorii Kaspersky să compare modulul respectiv cu familiile APT deja cunoscute.

Analiza adreselor de comandă şi control (C&C) utilizate a dezvăluit mai multe module periculoase, legate de gruparea din spatele GravityRAT. În total, au fost găsite peste 10 versiuni ale GravityRAT, distribuite ca aplicaţii legitime, cum ar fi cele de partajare securizată a fişierelor care ar ajuta la protejarea dispozitivelor utilizatorilor de criptarea troienilor sau ca playere media. Utilizate împreună, aceste module au permis grupului să acceseze sistemele de operare Windows, Mac OS şi Android.

Lista funcţiilor activate în majoritatea cazurilor a fost standard şi obişnuită pentru programele de tip spyware. Modulele pot prelua datele dispozitivului, listele de contacte, adresele de e-mail, jurnalele de apeluri şi mesajele SMS. Unii dintre troieni căutau şi fişiere cu extensii . jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx, şi .opus din memoria dispozitivului, pentru a le trimite şi pe ele la serverele C&C.

„Ancheta noastră a arătat că gruparea din spatele GravityRAT continuă să investească în abilităţile sale de spionaj”, spune Tatyana Shishkova, expert în securitate la Kaspersky: „Această capacitate de a se deghiza şi portofoliul extins de sisteme de operare ne permit să spunem că ne putem aştepta la mai multe incidente cu acest malware în regiunea APAC şi confirmă tendinţa tot mai largă conform căreia utilizatorii rău intenţionaţi nu sunt neapărat axaţi pe dezvoltarea de noi programe malware, ci pe dezvoltarea celor deja testate, în încercarea de a avea cât mai mult succes.”

Pentru protecţie, Kaspersky recomandă:

- Oferiţi-i echipei din centrul de operaţiuni de securitate (Security Operations Center - SOC) acces la cele mai recente informaţii despre ameninţările cibernetice. Kaspersky Threat Intelligence Portal oferă acces la rapoartele companiei, furnizând date despre atacuri cibernetice şi informaţii colectate de Kaspersky de mai bine de 20 de ani.

- Pentru detectarea la nivel endpoint, investigaţii şi remedierea rapidă a incidentelor, implementaţi soluţii de tip EDR fiabile, precum Kaspersky Endpoint Detection and Response.

- Pentru a vă proteja dispozitivele din companie, inclusiv pe cele cu sistemul de operare Android, de aplicaţiile periculoase, utilizaţi o soluţie de securitate endpoint, având control asupra aplicaţiilor mobile. Acest lucru vă poate asigura că numai aplicaţiile de încredere dintr-o listă aprobată pot fi instalate pe dispozitivele care au acces la date corporative importante.

Urmărește Business Magazin

Am mai scris despre:
spyware,
android,

Citeşte pe MonitorulApararii.ro

ZF.ro
O nouă pandemie! Anunţul teribil care vine în mijlocul pandemiei de COVID O nouă pandemie! Anunţul teribil care vine în mijlocul pandemiei de COVID
Cele două oraşe din România care au luat faţa marilor capitale ale lumii, precum Londra şi Paris, şi au lăsat în urmă Bucureştiul ee
Mediafax
Comisia Europeană a aprobat vânzarea unei inimi artificiale. Ea va intra pe piaţă la jumătatea anului 2021 Comisia Europeană a aprobat vânzarea unei inimi artificiale. Ea va intra pe piaţă la jumătatea anului 2021
România, „pregătită pentru intrarea în Schengen”. Convorbire telefonică între Florin Cîţu şi omologul olandez, Mark Rutte
MonitorulApararii
Revenirea temeinică a Turciei în Occident: explozie de şarm şi promisiuni la Bruxelles Revenirea temeinică a Turciei în Occident: explozie de şarm şi promisiuni la Bruxelles
Nord Stream 2: testul de rezistenţă al relaţiei dintre SUA şi Germania
MonitorulPartidelor
Dominic Fritz: A treia oară n-am scăpat Dominic Fritz: A treia oară n-am scăpat
Tomac, despre Năsui şi Ciucu: Pretinşi politicieni moralişti. Justificare ieftină şi micime
MonitorulSiguranteiCetateanului
COMENTARIU Valeriu ŞUHAN Poliţia „veselă” COMENTARIU Valeriu ŞUHAN Poliţia „veselă”
COMENTARIU Valeriu ŞUHAN Operaţiunea „Mioriţa”

Preluarea fără cost a materialelor de presă (text, foto si/sau video), purtătoare de drepturi de proprietate intelectuală, este aprobată de către www.bmag.ro doar în limita a 250 de semne. Spaţiile şi URL-ul/hyperlink-ul nu sunt luate în considerare în numerotarea semnelor. Preluarea de informaţii poate fi făcută numai în acord cu termenii agreaţi şi menţionaţi in această pagină.