Trojan nazwany GravityRAT został po raz pierwszy dokładnie opisany przez zespół CERT-In, czyli hinduską komórkę do reagowania na incydenty bezpieczeństwa w sierpniu 2017 roku. Potem, w 2018 roku technicznej analizy dokonało Cisco Talos. Już wtedy GravityRAT znany był z atakowania indyjskich podmiotów za pośrednictwem makr w dokumentach Office Word oraz Excel. Mówiono, że został zaprojektowany przez pakistańskie grupy hackerów w celu infiltracji komputerów rządowych i kradzież wrażliwych danych.

Jednak wtedy malware ten dział tylko w infrastrukturze Windows. Teraz po dwóch latach jego kod pojawił się znowu ze zmienionymi możliwościami i infekuje urządzenia z systemami Android i iOS. Malware podszywa się pod legalne aplikacje ze sklepów AppStore i Google Play. Po instalacji jest w stanie przechwytywać parametry techniczne urządzenia, listy kontaktów, adresy e-mail, dzienniki połączeń, smsów i przesyłać to wszystko na serwery kontrolowane przez atakujących, czyli tzw. serwery C&C.

Nawet jeśli najnowsza ewolucja GravityRAT wykracza poza możliwości wykrywania i blokowania złośliwego oprogramowania na platformach iOS oraz Android, to ogólny sposób infekcji zawsze pozostaje taki sam – wysyłanie złośliwych linków do ofiar w celu pobrania i zainstalowania z nich spreparowanej aplikacji mobilnej.
Malware najczęściej podszywa się pod aplikacje „Travel Mate Pro” (Android) oraz „Enigma” i „Titanium” (iOS).
Kaspersky poinformował jednak, że znalazł ponad dziesięć wersji GravityRAT, które były rozpowszechniane pod pozorem wielu różnych legalnych aplikacji. Trojanowe aplikacje obejmowały kategorie związane z podróżami, udostępnianiem plików, odtwarzaczami multimedialnymi i komiksami dla dorosłych.

Jedna z wersji złośliwych aplikacji zawierająca GravityRAT

Badacze wiedzą już, że malware jest rozpowszechniony w środowisku cyberprzestępczym i występuje wiele jego odmian.

Jedna z analizowanych wersji została sprawdzona pod kątem technicznym właśnie przez specjalistów z Kaspersky Lab.

Wersja zbierała dane i wysłała je do adresów: n1.nortonupdates[.]online oraz n2.nortonupdates[.]online. Domeny te zostały rozwiązane na adres IP 213.152.161[.]219, który nie posiada dobrej reputacji w skanerach sieciowych. Po sprawdzeniu pasywnego DNS pod kątem innych domen wcześniej znalezionych pod tym adresem u01.msoftserver[.]eu, poszukiwania doprowadziły do złośliwej aplikacji ZW.exe, napisanej w Pythonie.

Adresy C&C wywoływane przez ZW.exe są odszyfrowywane przez algorytm AES z pliku Extras \SystemEventBrokerSettings.dat. Są to:

  • msoftserver [.] eu: 64443
  • msoftserver [.] eu: 64444
  • msoftserver [.] eu: 64445
  • msoftserver [.] eu: 64446

Warto zablokować je na swoich brzegowych urządzeniach sieciowych.

Oprogramowanie szpiegujące otrzymuje polecenia z serwera C2. Po przetłumaczeniu na „język ludzki” brzmią one mniej więcej tak:

  • uzyskaj informacje o systemie,
  • wyszukaj pliki z rozszerzeniami .doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp i .ods i prześlij je na serwer,
  • uzyskaj listę uruchomionych procesów i aplikacji,
  • przechwytuj naciśnięcie ekranu,
  • rób zrzuty ekranu,
  • wykonuj dowolne polecenia powłoki,
  • nagrywaj dźwięk,
  • skanuj połączenia sieciowe,
  • przejrzyj listę kontaktów,
  • eksportuj dziennik połączeń.

Podsumowanie

Jeśli czytacie na bieżąco nasze artykuły widzicie, że pojawia się coraz więcej złośliwego oprogramowania dostosowanego do urządzeń mobilnych. W przypadku GravityRAT, znany malware na Windows został przekształcony w groźne trojany na systemy iOS i Android w celu inwigilacji użytkowników.
Metody ochrony przed takimi zagrożeniami często są bardzo podobne do tych z komputerów osobistych. Postanowiliśmy jednak przyjrzeć się bardziej tematowi zabezpieczania dzisiejszych smartfonów i opiszemy je w kolejnym naszym artykule w piątek.

Podziel się z innymi tym artykułem!