I ricercatori di Kaspersky hanno riferito di aver trovato un campione di spyware Android che non sembra essere stato rilevato in precedenza; il campione è stato rilevato in un’app di viaggio per utenti in India. Successive analisi hanno rilevato che questo campione potrebbe essere correlato a GravityRAT, un Trojan ad accesso remoto (RAT) con ampia presenza nel territorio indiano con la possibilità di operare su più piattaforme, tra cui Android e MacOS.
Rilevato nel 2015, GravityRAT è stato utilizzato in vari attacchi di alto profilo, comprese campagne dannose contro ufficiali militari in India. Sebbene all’inizio gli hacker sembrassero prendere di mira solo i sistemi Windows, i suoi sviluppatori lo hanno reso uno strumento multipiattaforma.
Il campione raccolto è stato molto utile per i ricercatori per analizzare tutte le modifiche apportate dagli sviluppatori, quindi hanno concluso che questo non è un tipico esempio di software Android. La scansione C&C ha rivelato diversi moduli dannosi aggiuntivi, anche relativi agli sviluppatori GravityRAT. In generale, sono state trovate più di 10 versioni di GravityRAT, distribuite sotto l’apparenza di applicazioni legittime; utilizzati congiuntamente, i moduli consentono agli hacker di accedere ai sistemi operativi compromessi.
I vari moduli di GravityRAT possono recuperare dati del dispositivo, registri di navigazione, elenchi di contatti, indirizzi e-mail, registri delle chiamate e messaggi di testo. Inoltre, il Trojan cerca l’accesso a file con estensioni come .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx e .opus.
Il fatto che GravityRAT sia diventato una minaccia multipiattaforma è un chiaro segno dello sviluppo che i suoi creatori hanno raggiunto, quindi prevenire un attacco è fondamentale.
Per prevenire qualsiasi tentativo di attacco, gli esperti consigliano di evitare di scaricare app da fonti sconosciute, poiché questa è la strategia principale degli hacker per infettare gli utenti mobili. Sul rilevamento a livello di endpoint, gli esperti consigliano di rivolgersi a soluzioni tradizionali per proteggere le reti dall’attività di spionaggio.
