Un cheval de Troie d’accès à distance basé sur Windows qui aurait été conçu par des groupes de pirates informatiques pakistanais pour infiltrer les ordinateurs et voler les données des utilisateurs a refait surface après une période de deux ans avec des capacités repensées pour cibler les appareils Android et macOS.
Selon la société de cybersécurité Kaspersky, le malware – surnommé « GravitéRAT« – se fait désormais passer pour des applications Android et macOS légitimes pour capturer les données des appareils, les listes de contacts, les adresses e-mail et les journaux d’appels et de SMS et les transmettre à un serveur contrôlé par un attaquant.
Documenté pour la première fois par l’équipe indienne d’intervention en cas d’urgence informatique (CERT-In) en août 2017, puis par Cisco Talos en avril 2018, GravityRAT est connu pour cibler les entités et organisations indiennes via des documents Microsoft Office Word contenant des logiciels malveillants au moins depuis 2015.
Notant que l’acteur de la menace a développé au moins quatre versions différentes de l’outil d’espionnage, Cisco a déclaré: « le développeur a été assez intelligent pour protéger cette infrastructure et ne pas la mettre sur liste noire par un fournisseur de sécurité. »
Puis l’année dernière, il est apparu que Des espions pakistanais ont utilisé de faux comptes Facebook pour contacter plus de 98 fonctionnaires de diverses forces et organisations de défense, telles que l’armée indienne, l’armée de l’air et la marine, et les inciter à installer le logiciel malveillant déguisé en une application de messagerie sécurisée appelée Whisper.
Mais même si la dernière évolution de GravityRAT va au-delà des capacités d’évasion anti-malware pour obtenir une prise en charge multi-plateforme – y compris Android et macOS – le mode de fonctionnement global reste le même: envoyer des liens cibles vers Android piégé (par exemple, Travel Mate Pro) et les applications macOS (Enigma, Titanium) pour distribuer le malware.
Kaspersky a déclaré avoir trouvé plus de dix versions de GravityRAT qui étaient distribuées sous le couvert d’applications légitimes en renvoyant les adresses de commande et de contrôle (C2) utilisées par le cheval de Troie.
Dans l’ensemble, les applications trojanized couvraient les catégories de voyages, de partage de fichiers, de lecteurs multimédias et de bandes dessinées pour adultes, s’adressant aux utilisateurs d’Android, de macOS et de Windows, permettant ainsi aux attaquants de récupérer des informations système, des documents avec des extensions spécifiques, une liste de processus, enregistrez les frappes et prenez des captures d’écran, et même exécutez des commandes Shell arbitraires.
« Notre enquête a indiqué que l’acteur derrière GravityRAT continue d’investir dans ses capacités d’espionnage », a déclaré Tatyana Shishkova de Kaspersky. m’a dit.
«Un déguisement rusé et un portefeuille de systèmes d’exploitation élargi nous permettent non seulement de dire que nous pouvons nous attendre à plus d’incidents avec ce malware dans la région APAC, mais cela soutient également la tendance plus large selon laquelle les utilisateurs malveillants ne se concentrent pas nécessairement sur le développement de nouveaux logiciels malveillants, mais sur le développement éprouvé. à la place, dans une tentative d’être le plus efficace possible.
