El malware Windows GravityRAT ahora también dirigido a dispositivos macOS y Andr

Un troyano de acceso remoto basado en Windows que se cree que fue diseñado por grupos de piratas informáticos paquistaníes para infiltrarse en computadoras y robar datos de los usuarios ha resurgido después de un período de dos años con capacidades renovadas para atacar dispositivos Android y macOS.

Según la firma de ciberseguridad Kaspersky, el malware, denominado " GravityRAT ", ahora se hace pasar por aplicaciones legítimas de Android y macOS para capturar datos del dispositivo, listas de contactos, direcciones de correo electrónico y registros de llamadas y mensajes de texto y transmitirlos a un servidor controlado por el atacante.

Documentado por primera vez por el Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In) en agosto de 2017 y posteriormente por Cisco Talos en abril de 2018, se sabe que GravityRAT apunta a entidades y organizaciones indias a través de documentos de Microsoft Office Word con malware al menos desde 2015.

Al señalar que el actor de amenazas desarrolló al menos cuatro versiones diferentes de la herramienta de espionaje, Cisco dijo que "el desarrollador fue lo suficientemente inteligente como para mantener segura esta infraestructura y no tenerla en la lista negra de un proveedor de seguridad".

Luego, el año pasado, se supo que los espías paquistaníes utilizaron cuentas falsas de Facebook para comunicarse con más de 98 funcionarios de varias fuerzas y organizaciones de defensa, como el Ejército, la Fuerza Aérea y la Armada de la India, y engañarlos para que instalen el malware disfrazado de aplicación de mensajería segura llamada Whisper.


Pero incluso cuando la última evolución de GravityRAT va más allá de las capacidades de evasión anti-malware para obtener soporte multiplataforma, incluidos Android y macOS, el modus operandi general sigue siendo el mismo: enviar enlaces de objetivos a Android con trampa explosiva (por ejemplo, Travel Mate Pro) y aplicaciones macOS (Enigma, Titanium) para distribuir el malware.

Kaspersky dijo que encontró más de diez versiones de GravityRAT que se estaban distribuyendo bajo la apariencia de aplicaciones legítimas mediante referencias cruzadas de las direcciones de comando y control (C2) utilizadas por el troyano.

En total, las aplicaciones troyanizadas abarcaron categorías de viajes, intercambio de archivos, reproductores multimedia y cómics para adultos, dirigidas a usuarios de Android, macOS y Windows, lo que permitió a los atacantes obtener información del sistema, documentos con extensiones específicas y una lista de procesa, registra las pulsaciones de teclas y toma capturas de pantalla, e incluso ejecuta comandos de Shell arbitrarios.

Citar"Nuestra investigación indica que el actor detrás GravityRAT sigue invirtiendo en sus capacidades de espionaje," dijo Kaspersky Tatyana Shishkova.

"Un disfraz astuto y una cartera de sistemas operativos ampliada no solo nos permiten decir que podemos esperar más incidentes con este malware en la región APAC, sino que también respalda la tendencia más amplia de que los usuarios malintencionados no están necesariamente enfocados en desarrollar nuevo malware, sino en desarrollar en cambio, en un intento de tener el mayor éxito posible ".

Vía: The Hacker News