卡巴斯基已成功识别出一种以前不为人知的Android间谍软件,它是一种插入印度用户旅行应用程序中的恶意模块。该间谍软件被证实与GravityRAT有关,这是一种在印度进行间谍活动的远程访问木马(RAT)。
进一步的调查显示,这个恶意软件背后的组织现在已经把它变成了一个多平台的工具。间谍软件之前的目标是Windows操作系统,现在它也可以在安卓和macOS上使用。这场运动依然活跃活跃。
GravityRAT于2018年首次被发现,网络安全研究人员发表了其研究进展。该间谍软件被用于针对印度军方的有针对性的攻击。根据卡巴斯基的数据,该活动至少从2015年就开始活跃,主要集中在Windows操作系统上。然而,几年前,情况发生了变化,该集团将Android加入了目标列表。
另外还有:在印度封锁期间,网络监视、跟踪应用增加了20%
最近确认的模块进一步证明了这一变化,有很多原因,为什么它看起来不像一个典型的Android间谍软件。例如,一个特定的应用程序必须被选择来执行恶意目的,而恶意代码并不是基于先前已知的间谍软件应用程序的代码。这使得卡巴斯基的研究人员将该模块与已知的APT家庭进行比较。
分析使用的命令和控制(C&C)地址,揭示了几个额外的恶意模块,也与背后的演员GravityRAT,卡巴斯基解释在一份报告。
总的来说,有超过10个版本的GravityRAT是在合法应用程序的幌子下传播的,比如安全文件共享应用程序,它可以帮助保护用户的设备不被木马或媒体播放器加密。
这些模块一起使用,使小组能够接入Windows OS、macOS和Android。
还可以阅读:新的谷歌Chrome间谍软件让黑客跟踪你的在线活动
启用的功能列表在大多数情况下是相当标准的,典型的间谍软件期望。这些模块可以检索设备数据、联系人列表、电子邮件地址、通话记录和短信。一些木马还在设备内存中搜索带有.jpg、.jpeg、.log、.png、.txt、.pdf、.xml、.doc、.xls、.xlsx、.ppt、.pptx、.docx和.opus扩展名的文件,并将它们发送给C&C。