\nKaspersky a identificat o component\u0103 spyware pe Android, necunoscut\u0103 anterior. Modul malware a fost introdus \u00eentr-o aplica\u0163ie de c\u0103l\u0103torie pentru utilizatorii indieni. <\/p>\n
\nO analiz\u0103 detaliat\u0103 a eviden\u0163iat c\u0103 aceasta era legat\u0103 de GravityRAT, un troian de tip Remote Access Trojan (RAT), de spionaj, cunoscut pentru activit\u0103\u0163ile desf\u0103\u015furate \u00een India.<\/p>\n
\nInvestiga\u0163iile ulterioare au confirmat c\u0103 grupul din spatele acestui malware a depus eforturi \u00een scopul cre\u0103rii unui instrument multiplatform\u0103. Pe l\u00e2ng\u0103 direc\u0163ionarea c\u0103tre sistemele de operare Windows, acesta poate fi folosit acum pe Android \u015fi Mac OS.<\/p>\n
\nCampania este \u00eenc\u0103 activ\u0103.<\/p>\n
\n\u00cen 2018, cercet\u0103torii \u00een domeniul securit\u0103\u0163ii cibernetice au publicat o analiz\u0103 detaliat\u0103 asupra evolu\u0163iei GravityRAT. Instrumentul a fost utilizat \u00een atacuri direc\u0163ionate \u00eempotriva serviciilor militare indiene. Conform datelor Kaspersky, campania a fost activ\u0103 cel pu\u0163in din anul 2015, fiind concentrat\u0103 mai ales pe sistemele de operare Windows. Cu c\u00e2\u0163iva ani \u00een urm\u0103, \u00eens\u0103, situa\u0163ia s-a schimbat, iar grupul a ad\u0103ugat sistemul Android pe lista \u0163intelor sale.<\/p>\n
\nModulul identificat a fost \u00eenc\u0103 o dovad\u0103 a acestei schimb\u0103ri \u015fi au existat mai multe motive pentru care nu ar\u0103ta ca o component\u0103 tipic\u0103 de spyware Android. De exemplu, trebuie selectat\u0103 o anumit\u0103 aplica\u0163ie pentru a desf\u0103\u015fura activit\u0103\u0163i r\u0103u inten\u0163ionate, iar codul folosit \u2013 a\u015fa cum se \u00eent\u00e2mpl\u0103 adesea \u2013 nu se baza pe codul unor aplica\u0163ii spyware cunoscute p\u00e2n\u0103 acum. Acest lucru i-a motivat pe cercet\u0103torii Kaspersky s\u0103 compare modulul respectiv cu familiile APT deja cunoscute.<\/p>\n
\nAnaliza adreselor de comand\u0103 \u015fi control (C&C) utilizate a dezv\u0103luit mai multe module periculoase, legate de gruparea din spatele GravityRAT. \u00cen total, au fost g\u0103site peste 10 versiuni ale GravityRAT, distribuite ca aplica\u0163ii legitime, cum ar fi cele de partajare securizat\u0103 a fi\u015fierelor care ar ajuta la protejarea dispozitivelor utilizatorilor de criptarea troienilor sau ca playere media. Utilizate \u00eempreun\u0103, aceste module au permis grupului s\u0103 acceseze sistemele de operare Windows, Mac OS \u015fi Android.<\/p>\n
\nLista func\u0163iilor activate \u00een majoritatea cazurilor a fost standard \u015fi obi\u015fnuit\u0103 pentru programele de tip spyware. Modulele pot prelua datele dispozitivului, listele de contacte, adresele de e-mail, jurnalele de apeluri \u015fi mesajele SMS. Unii dintre troieni c\u0103utau \u015fi fi\u015fiere cu extensii . jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx, \u015fi .opus din memoria dispozitivului, pentru a le trimite \u015fi pe ele la serverele C&C.<\/p>\n
\n\u201eAncheta noastr\u0103 a ar\u0103tat c\u0103 gruparea din spatele GravityRAT continu\u0103 s\u0103 investeasc\u0103 \u00een abilit\u0103\u0163ile sale de spionaj\u201d, spune Tatyana Shishkova, expert \u00een securitate la Kaspersky: \u201eAceast\u0103 capacitate de a se deghiza \u015fi portofoliul extins de sisteme de operare ne permit s\u0103 spunem c\u0103 ne putem a\u015ftepta la mai multe incidente cu acest malware \u00een regiunea APAC \u015fi confirm\u0103 tendin\u0163a tot mai larg\u0103 conform c\u0103reia utilizatorii r\u0103u inten\u0163iona\u0163i nu sunt neap\u0103rat axa\u0163i pe dezvoltarea de noi programe malware, ci pe dezvoltarea celor deja testate, \u00een \u00eencercarea de a avea c\u00e2t mai mult succes.\u201d<\/p>\n
\nPentru protec\u0163ie, Kaspersky recomand\u0103:<\/p>\n
\n– Oferi\u0163i-i echipei din centrul de opera\u0163iuni de securitate (Security Operations Center – SOC) acces la cele mai recente informa\u0163ii despre amenin\u0163\u0103rile cibernetice. Kaspersky Threat Intelligence Portal ofer\u0103 acces la rapoartele companiei, furniz\u00e2nd date despre atacuri cibernetice \u015fi informa\u0163ii colectate de Kaspersky de mai bine de 20 de ani.<\/p>\n
\n– Pentru detectarea la nivel endpoint, investiga\u0163ii \u015fi remedierea rapid\u0103 a incidentelor, implementa\u0163i solu\u0163ii de tip EDR fiabile, precum Kaspersky Endpoint Detection and Response.<\/p>\n
\n– Pentru a v\u0103 proteja dispozitivele din companie, inclusiv pe cele cu sistemul de operare Android, de aplica\u0163iile periculoase, utiliza\u0163i o solu\u0163ie de securitate endpoint, av\u00e2nd control asupra aplica\u0163iilor mobile. Acest lucru v\u0103 poate asigura c\u0103 numai aplica\u0163iile de \u00eencredere dintr-o list\u0103 aprobat\u0103 pot fi instalate pe dispozitivele care au acces la date corporative importante.<\/p>\n","protected":false},"excerpt":{"rendered":"
Kaspersky a identificat o component\u0103 spyware pe Android, necunoscut\u0103 anterior. Modul malware a fost introdus \u00eentr-o aplica\u0163ie de c\u0103l\u0103torie pentru utilizatorii indieni. O analiz\u0103 detaliat\u0103 a eviden\u0163iat c\u0103 aceasta era legat\u0103 de GravityRAT, un troian de tip Remote Access Trojan (RAT), de spionaj, cunoscut pentru activit\u0103\u0163ile desf\u0103\u015furate \u00een India. Investiga\u0163iile ulterioare au confirmat c\u0103 grupul […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[510],"tags":[12670,47026],"class_list":["post-187286","post","type-post","status-publish","format-standard","hentry","category-actualitate","tag-android","tag-spyware"],"_links":{"self":[{"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/posts\/187286","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=187286"}],"version-history":[{"count":0,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/posts\/187286\/revisions"}],"wp:attachment":[{"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=187286"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=187286"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=187286"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}