همانطور که می دانید تروجان دسترسی از راهدور مبتنی بر ویندوز که طراحی شده تا به رایانه ها نوذ کند و طلاعات را بدزد حال بعد از گذشت دو سال همراه با قابلیتهای جدید بازگشته است. این بد افزار حالا قادر است تا دستگاههای Android و macOS را مورد اهدف قرار دهد. این بدافزار بوسیله گروههای هکر پاکستانی طراحی شده است و نام آن “GravityRAT” می باشد
شرکت امنیت سایبری کسپرسکی در مورد این بدافزار بیان کرده است :کاری که این بدافزار سعی در انجام آن دارد این است که تحت عنوان برنامههای قانونی Android و macOS مخفی شده تا اطلاعات دستگاهها، لیستهای تماس، آدرسهای ایمیل و گزارش تماس و متن را ضبط و به یک سرور کنترل شده توسط مهاجمان منتقل کند.
این بد افطزار اولین بار بوسیله تیم واکنش اضطراری رایانه هند CERT-In در آگوست 2017 و متعاقبا توسط سیسکو در آوریل 2018 ثبت شد و همچنین مشخص شد که GravityRAT حداقل از سال 2015 از طریق اسناد ورد مایکروسافت آفیس، نهادها و سازمانهای هند را هدف قرار داده است.
سیسکو ابتدا به این نکته اشاره کرد که این بدافزار حداقل چهار نسخه مختلف از ابزار جاسوسی را توسعه خواهد داد. همچنین این شرکت درباره ی این بدافزار بیان کرد: “توسعه دهنده به اندازه کافی زیرک بود که این زیرساخت را ایمن نگه دارد و توسط هیچ فروشنده امنیتی در لیست سیاه قرار نگیرد.”
در این راستا چیزی که مشخض شد این بود که جاسوسان پاکستانی با استفاده از حسابهای جعلی فیسبوک با بیش از 98 مقام از نیروهای مختلف دفاع و سازمانها مانند ارتش هند، نیروی هوایی و نیروی دریایی ارتباط برقرار می کنند و آنها را فریب می دهند تا به نصب بدافزاری به عنوان یک برنامه پیامرسان ایمن به نام Whisper بپردازند.
اما حتی همانطور که آخرین تکامل GravityRAT فراتر از قابلیتهای فرار از ضدبدافزار است برای به دست آوردن پشتیبانی از چند سیستمعامل از جمله Android و macOS عملکرد کلی یکسان است: ارسال پیوندهای اهداف به اندروید محصور شده مانند (Travel Mate Pro) و برنامههای macOS مانند Titanium،Enigma برای توزیع بدافزار.
شرکت امنیت سایبری کسپرسکی بیان کرد که بیش از ده نسخه از GravityRAT را پیدا کرده است که تحت عنوان برنامههای قانونی با ارجاع متقابل به آدرسهای فرمان و کنترل cross-referencing the command-and-Vcontrol (C2) استفاده شده توسط Trojan توزیع میشوند.
بنابراین این بدافزار در سرتاسر سفر، به اشتراکگذاری فایل، پخش کنندههای رسانهای و دستههای کمیک بزرگسالان، به کاربران Android، macOS و ویندوز ارائه خواهد شد، در نتیجه به مهاجمان اجازه خواهد داد تا اطلاعات سیستم، اسناد با پسوندهای خاص و لیستی از موارد در حال اجرا را بدست آورند. پردازش کنند، ضربات کلید را ضبط میکنند و از صفحه عکس بگیرند و حتی دستورات دلخواه Shell را اجرا کنند.
تاتیانا شیشکووا از کسپرسکی عنوان کرد: “تحقیقات ما نشان داد که بازیگر پشت صحنه GravityRAT به سرمایهگذاری در ظرفیتهای جاسوسی خود ادامه میدهد.”
وی همچنین بیان کرد:”پنهانسازی حیلهگرانه و نمونه کارهای گسترده سیستمعامل نه تنها به ما اجازه میدهد بگوییم که میتوان انتظار وقوع حوادث بیشتری را با این بدافزار در منطقه APAC داشت، بلکه این روند گستردهتر را پشتیبانی میکند که کاربران مخرب لزوماً در توسعه بدافزارهای جدید متمرکز نیستند، بلکه بهجای آن، در تلاش برای موفقیت هرچه بیشتر، در توسعه موارد مخرب هستند.”