GravityRAT: El ya conocido spyware que ahora también afecta a MacOS y Android

Investigadores de Kaspersky descubren nuevos módulos de GravityRAT que convierten al malware en multiplataforma. En concreto, se han encontrado un total de 10 versiones del troyano que se oculta en aplicaciones aparentemente legítimas, tales como reproductores o aplicaciones para compartir archivos.

De acuerdo con los datos de la compañía, este malware de tipo Remote Access Toolkit (RAT) podría haber estado activo por primera vez en 2015. Sin embargo, por aquel entonces sus capacidades de espionaje se centraban principalmente en sistemas operativos Windows, tal y como también se muestra en el informe de CISCO Talos de 2018, donde se recogían las capacidades del malware para detectar máquinas virtuales a través de la comprobación de la temperatura del sistema, y en cuya publicación ya se mostraban distintas variantes del troyano.

Siguiendo la tónica, en esta ocasión, se repitieron los hallazgos que demostraban que GravityRAT afecta a sistemas operativos Windows, pero por primera vez también se hallaron nuevos módulos que permitirían el espionaje de sistemas MacOS y Android. Según recoge la publicación de Kaspersky, parte del código contenido en estos módulos no es habitual en troyanos de tipo spyware.

En cuanto a las funcionalidades, son las siguientes:

  • Recuperación de datos de dispositivos.
  • Listado de contactos.
  • Listado de direcciones de correo electrónico.
  • Acceso a lista de llamadas.
  • Acceso a mensajes SMS.
  • Acceso a archivos.

Sobre esta última, las muestras investigadas estaban programadas para detectar y enviar al C&C distintos tipos de archivos, tales como logs que se encontraran en la memoria del dispositivo infectado, documentos de texto, hojas de cálculo, imágenes, y otros ficheros con extensiones .xml, .pdf, y .opus, que es el formato en el que se almacenan las notas de voz y audio de la aplicación WhatsApp.

Y es que este troyano ha seguido evolucionando según se puede extraer de lo expuesto y de las palabras de Tatyana Shishkova, experta en seguridad de Kaspersky, quien además augura nuevos incidentes en la región APAC (Asia-Pacífico).

«Cunning disguise and an expanded OS portfolio not only allow us to say that we can expect more incidents with this malware in the APAC region, but this also supports the wider trend that malicious users are not necessarily focused on developing new malware, but developing proven ones instead, in an attempt to be as successful as possible.»

Tatyana Shishkova, experta en seguridad de Kaspersky

La investigadora sostiene que el hecho de que los actores detrás de GravityRAT hayan modificado la muestra para poder afectar a otros sistemas operativos y perpetrar ataques de forma más amplia, apoya la tendencia de que a los creadores de malware no solo les interesan los nuevos desarrollos, sino que también invierten en la evolución del código de malware ya existente, con la intención de tener el mayor éxito posible.

Más información:

GravityRAT: El regreso del espía. Tatyana Shishkova
https://securelist.lat/gravityrat-el-regreso-del-espia/91612

Infamous GravityRAT spyware evolves to target multiple platforms
https://usa.kaspersky.com/about/press-releases/2020_infamous-gravity-rat-spyware-evolves-to-target-multiple-platforms

GravityRAT – The Two-Year Evolution Of An APT Targeting India. Warren Mercer y Paul Rascagneres
https://blog.talosintelligence.com/2018/04/gravityrat-two-year-evolution-of-apt.html

Comparte en tus redes: