De bibliotheek voor digitale criminaliteit

'Malware 'GravityRAT' spyware nu ook te gebruiken voor aanval op Android en MacOS'

Gepubliceerd op 20 oktober 2020 om 14:00

'Malware 'GravityRAT' spyware nu ook te gebruiken voor aanval op Android en MacOS'

De beruchte malware 'GravityRAT' spyware wordt op sluwe wijze multiplatform, naast Windows-besturingssystemen, richt de tool zich nu ook op Android en MacOS.

Cybersecurity onderzoekers van Kaspersky hebben een voorheen onbekend stuk Android-spyware geïdentificeerd. Deze kwaadaardige module is ingevoegd in een reisapplicatie voor Indiase gebruikers en bleek gerelateerd aan GravityRAT - een spionage-trojan voor externe toegang (RAT). Nader onderzoek wees uit dat de groep een ​​tool voor meerdere platforms maakte. Naast het richten op Windows-besturingssystemen, kan het nu worden gebruikt op Android en MacOS. De campagne is nog steeds actief.

In 2018 is een overzicht van de ontwikkelingen van GravityRAT gepubliceerd door cybersecurity onderzoekers. De tool werd gebruikt bij gerichte aanvallen op Indiase militaire diensten. Volgens de gegevens van Kaspersky is de campagne actief sinds ten minste 2015, voornamelijk gericht op Windows-besturingssystemen. Een paar jaar geleden voegde de groep Android toe aan de doellijst. De geïdentificeerde module bevestigt dit.

Zag er niet uit als malware

Toch zag de module er niet direct uit als een typisch stuk Android-spyware. Zo moet een specifieke applicatie worden geselecteerd om kwaadaardige doeleinden uit te voeren en was de kwaadaardige code - zoals vaak het geval is - niet gebaseerd op de code van eerder bekende spyware toepassingen. Dit motiveerde Kaspersky om de module te vergelijken met reeds bekende APT-families.

Een wolf in schaapskleren

Analyse van de gebruikte command and control (C&C) -adressen bracht verschillende aanvullende kwaadaardige modules aan het licht, ook gerelateerd aan de actor achter GravityRAT. In totaal werden meer dan 10 versies van GravityRAT gevonden, die werden verspreid onder het mom van legitieme applicaties, zoals veilige applicaties voor het delen van bestanden die de apparaten van gebruikers zouden helpen beschermen tegen versleutelde Trojaanse paarden of mediaspelers. Door deze modules samen te gebruiken, kon de groep gebruik maken van Windows OS, MacOS en Android.

De lijst met ingeschakelde functies was in de meeste gevallen vrij standaard en wordt doorgaans verwacht voor spyware. De modules kunnen apparaat gegevens, contactlijsten, e-mailadressen, oproep logboeken en sms-berichten ophalen. Sommige Trojaanse paarden zochten ook naar bestanden met .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx en .opus-extensies in het geheugen van een apparaat om ze ook naar de C&C te sturen.

Ontwikkelen van bewezen malware

“Ons onderzoek gaf aan dat de actor achter GravityRAT blijft investeren in zijn spionagecapaciteiten. Door sluwe vermomming en een uitgebreid OS-portfolio kunnen we niet alleen zeggen dat we meer incidenten met deze malware in de APAC-regio kunnen verwachten, maar dit ondersteunt ook de bredere trend dat kwaadwillende gebruikers niet noodzakelijkerwijs gericht zijn op het ontwikkelen van nieuwe malware, maar op het ontwikkelen van bewezen malware, ”zegt Tatyana Shishkova, beveiligingsexpert bij Kaspersky.

Beschermen tegen spyware met Kaspersky

  • Geef het SOC-team toegang tot de nieuwste dreigingsinformatie (TI). De Threat Intelligence Portal geeft toegang tot de TI van het bedrijf en biedt gegevens over cyberaanvallen en inzichten die Kaspersky al meer dan 20 jaar heeft verzameld.
  • Implementeer betrouwbare EDR-oplossingen, zoals Endpoint Detection and Response voor detectie op endpoint niveau, onderzoek en tijdige oplossing van incidenten.
  • Gebruik een endpoint-beveiligingsoplossing met mobiele applicatiecontrole om zakelijke apparaten, inclusief die op Android, te beschermen tegen kwaadaardige applicaties. Dit kan ervoor zorgen dat alleen vertrouwde applicaties van een goedgekeurde witte lijst kunnen worden geïnstalleerd op apparaten die toegang hebben tot gevoelige bedrijfsgegevens.
Gravity RAT The Spy Returns
PDF – 1.7 MB 29 downloads

Bron: securelist.com, kaspersky.nl


«   »