Le malware GravityRAT est de retour sur Android et macOS

Les pirates informatiques responsables du logiciel espion GravityRAT ont déployé pour la première fois de nouvelles variantes sur macOS et Android.

Le cheval de Troie d’accès à distance GravityRAT existe depuis au moins 2015, selon les chercheurs de Kaspersky, mais il s’est principalement concentré sur les systèmes d’exploitation Windows. La dernière actualité majeure du développement a eu lieu en 2018, lorsque les développeurs à l’origine du malware ont apporté des modifications clés au code du RAT dans le but de réduire la détection de l’antivirus.

Récemment cependant, les chercheurs de Kaspersky ont repéré un code GravityRAT mis à jour indiquant une refonte du malware. «Une enquête plus approfondie a confirmé que le groupe derrière le malware [GravityRAT] avait fourni des efforts pour en faire un outil multiplateforme… la campagne est toujours active», selon une étude publiée récemment.

Le logiciel malveillant est capable de récupérer les données de l’appareil, les listes de contacts, les adresses e-mail, les journaux d’appels et les messages SMS et peut exfiltrer divers types de documents et de fichiers.

Suivre les traces de GravityRAT

Sur le plan mobile, Kaspersky a été informé que GravityRAT était de retour lorsque les chercheurs ont observé un morceau de code malveillant inséré dans une application de voyage Android pour les utilisateurs Indiens.

Après quelques analyses de code, ils ont pu déterminer que le module malveillant était en fait lié à GravityRAT. Ensuite, les chercheurs ont décidé de regarder plus loin, car le code «ne ressemble pas à un logiciel espion Android typique», ont déclaré les chercheurs.

«L’analyse des adresses command-and-control (C2) du module utilisé a révélé plusieurs modules malveillants supplémentaires, également liés au responsable derrière GravityRAT», ont-ils expliqué.

GravityRAT

Dans l’ensemble, l’analyse a révélé plus de 10 nouvelles versions de GravityRAT, toutes distribuées dans des applications trojanisé – y compris celles se faisant passer pour des applications de partage de fichiers sécurisées ou des lecteurs multimédias. Utilisés ensemble, ces modules représentent une base de code multiplateforme qui permet au groupe d’exploiter Windows OS, MacOS et Android.

«La principale modification observée dans la nouvelle campagne GravityRAT est la multiplateforme», ont déclaré les chercheurs. «Outre Windows, il existe désormais des versions pour Android et macOS. Les cybercriminels ont également commencé à utiliser des signatures numériques pour rendre les applications plus légitimes. »

trickbot

Une fois installé, le logiciel espion reçoit des commandes du serveur. Les commandes incluent des informations de commande Get sur le système; rechercher des fichiers sur l’ordinateur et les disques amovibles (avec les extensions .doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp et .ods); télécharger des fichiers sur le serveur; obtenir une liste des processus en cours d’exécution; intercepter les frappes du clavier; prendre des captures d’écran; exécuter des commandes shell arbitraires; enregistrer l’audio et scanner les ports.

La campagne se poursuit, ciblant principalement des victimes en Inde. C’est une continuation de la victimologie standard de GravityRAT. Kaspersky pense également que le malware se propage de la même manière que les anciennes versions, par les réseaux sociaux, où les personnes ciblées reçoivent des liens pointant vers des applications et des programmes malveillants.

«En 2019, le Times of India a publié un article sur les méthodes cybercriminelles utilisées pour distribuer GravityRAT pendant la période 2015-2018», selon l’analyse. «Les victimes ont été contactées via un faux compte Facebook et invitées à installer une application malveillante déguisée en messager sécurisé afin de poursuivre la conversation. Une centaine de cas d’infection d’employés de la défense, de la police et d’autres services et organisations ont été identifiés. »

Le principal changement dans la tactique est l’investissement dans l’élargissement de la base cible du groupe, ont conclu les chercheurs.

«Notre enquête a indiqué que le responsable de GravityRAT continue d’investir dans ses capacités d’espionnage», a déclaré Tatyana Shishkova, experte en sécurité chez Kaspersky, dans un communiqué. «Un déguisement rusé et un portefeuille de systèmes d’exploitation élargi nous permettent non seulement de dire que nous pouvons nous attendre à plus d’incidents avec ce malware dans la région APAC, mais cela soutient également la tendance plus large selon laquelle les utilisateurs malveillants ne se concentrent pas nécessairement sur le développement de nouveaux logiciels malveillants, mais sur le développement de malware déjà existant dans le but d’être le plus efficace possible. »

Si cet article vous a plu, jetez un œil à notre précédent article.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x