Trở lại năm 2017, Nhóm Ứng cứu Khẩn cấp Máy tính Ấn Độ (CERT-IN) đã phát hiện ra sự tồn tại của phần mềm gián điệp GravityRAT. Phần mềm gián điệp, được cho là do các nhóm hacker Pakistan vận hành, dường như đã trở lại với sự hỗ trợ cho nhiều nền tảng.
GravityRAT được biết là đã tồn tại từ năm 2015. Trong khi GravityRAT trước đây chỉ nhắm mục tiêu Windows PC, phát hiện mới nhất của các nhà nghiên cứu tại Kaspersky đã phát hiện ra rằng Trojan truy cập từ xa hiện cũng ảnh hưởng đến Android và macOS.
Phiên bản Android của phần mềm gián điệp GravityRAT đã được phát hiện trên một phiên bản đã thay đổi của một ứng dụng du lịch mã nguồn mở có tên là Travel Mate. Những kẻ tấn công đã thay đổi ứng dụng bằng cách thêm mã độc và phát hành nó dưới tên ‘Travel Mate Pro’. Tương tự, những kẻ tấn công đã tạo một ứng dụng Android truyện tranh dành cho người lớn để phát tán phần mềm độc hại. Trên macOS, những kẻ độc hại vận hành phần mềm độc hại thông qua các ứng dụng có tên Enigma và Titanium.
Dưới đây là các khả năng của GravityRAT, được các nhà nghiên cứu của Kaspersky trình bày chi tiết:
- lấy thông tin về hệ thống
- tìm kiếm các tệp trên máy tính và các đĩa di động có phần mở rộng .doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp và .ods và tải chúng lên máy chủ
- nhận danh sách các quy trình đang chạy
- đánh chặn tổ hợp phím
- chụp ảnh màn hình
- thực hiện các lệnh shell tùy ý
- ghi lại âm thanh (không được triển khai trong phiên bản này)
- quét các cổng
“Sự ngụy trang xảo quyệt và danh mục hệ điều hành mở rộng không chỉ cho phép chúng tôi nói rằng chúng tôi có thể mong đợi nhiều sự cố hơn với phần mềm độc hại này trong khu vực APAC, mà còn hỗ trợ xu hướng rộng rãi hơn rằng người dùng độc hại không nhất thiết phải tập trung vào việc phát triển phần mềm độc hại mới, nhưng phát triển đã được chứng minh thay vào đó, nhằm cố gắng thành công nhất có thể, ” Tatyana Shishkova, chuyên gia bảo mật tại Kaspersky cho biết.
