مورد هدف قرار گرفتن دستگاه‌های macOS و Android توسط Windows GravityRAT Malware پشتیبانی VOIP

Posted on by tilatel
 مورد هدف قرار گرفتن دستگاه‌های macOS و Android توسط Windows GravityRAT Malware پشتیبانی VOIP

همانطور که می دانید تروجان دسترسی از راه‌دور مبتنی بر ویندوز که طراحی شده تا به رایانه ها نوذ کند و طلاعات را بدزد حال بعد از گذشت دو سال همراه با قابلیتهای جدید بازگشته است. این بد افزار حالا قادر است تا دستگاه‌های Android و macOS را مورد اهدف قرار دهد. این بدافزار بوسیله گروههای هکر پاکستانی طراحی شده است و نام آن “GravityRAT”  می باشد

شرکت امنیت سایبری کسپرسکی در مورد این بدافزار بیان کرده است :کاری که این بدافزار سعی در انجام آن دارد این است که تحت عنوان برنامه‌های قانونی Android و macOS مخفی شده تا اطلاعات دستگاه‌ها، لیست‌های تماس، آدرس‌های ایمیل و گزارش تماس و متن را ضبط و به یک سرور کنترل شده توسط مهاجمان منتقل کند.

این بد افطزار اولین بار بوسیله تیم واکنش اضطراری رایانه هند CERT-In در آگوست 2017 و متعاقبا توسط سیسکو در آوریل 2018 ثبت شد و همچنین مشخص شد که GravityRAT حداقل از سال 2015 از طریق اسناد ورد مایکروسافت آفیس، نهادها و سازمان‌های هند را هدف قرار داده است.

سیسکو ابتدا به این نکته اشاره کرد که این بدافزار حداقل چهار نسخه مختلف از ابزار جاسوسی را توسعه  خواهد داد. همچنین این شرکت درباره ی این بدافزار بیان کرد: “توسعه دهنده به اندازه کافی زیرک بود که این زیرساخت را ایمن نگه دارد و توسط هیچ فروشنده امنیتی در لیست سیاه قرار نگیرد.”

در این راستا چیزی که مشخض شد این بود که  جاسوسان پاکستانی با استفاده از حساب‌های جعلی فیس‌بوک با بیش از 98 مقام از نیروهای مختلف دفاع و سازمان‌ها مانند ارتش هند، نیروی هوایی و نیروی دریایی ارتباط برقرار می کنند و آنها را فریب می دهند تا به نصب بدافزاری به عنوان یک برنامه پیام‌رسان ایمن به نام Whisper بپردازند.

اما حتی همانطور که آخرین تکامل GravityRAT فراتر از قابلیت‌های فرار از ضد‌بدافزار است برای به دست آوردن پشتیبانی از چند سیستم‌عامل از جمله Android و macOS عملکرد کلی یکسان است: ارسال پیوندهای اهداف به اندروید محصور شده مانند (Travel Mate Pro) و برنامه‌های macOS مانند Titanium،Enigma برای توزیع بدافزار.

شرکت امنیت سایبری کسپرسکی بیان کرد که بیش از ده نسخه از GravityRAT را پیدا کرده است که تحت عنوان برنامه‌های قانونی با ارجاع متقابل به آدرس‌های فرمان و کنترل cross-referencing the command-and-Vcontrol (C2) استفاده شده توسط Trojan توزیع می‌شوند.

بنابراین این بدافزار در سرتاسر سفر، به اشتراک‌گذاری فایل، پخش کننده‌های رسانه‌ای و دسته‌های کمیک بزرگسالان، به کاربران Android، macOS و ویندوز ارائه خواهد شد، در نتیجه به مهاجمان اجازه خواهد داد تا اطلاعات سیستم، اسناد با پسوندهای خاص و لیستی از موارد در حال اجرا را بدست آورند. پردازش ‌کنند، ضربات کلید را ضبط می‌کنند و از صفحه عکس بگیرند و حتی دستورات دلخواه Shell را اجرا کنند.

تاتیانا شیشکووا از کسپرسکی عنوان کرد: “تحقیقات ما نشان داد که بازیگر پشت صحنه GravityRAT به سرمایه‌گذاری در ظرفیت‌های جاسوسی خود ادامه می‌دهد.”

وی همچنین بیان کرد:”پنهان‌سازی حیله‌گرانه و نمونه کارهای گسترده سیستم‌عامل نه تنها به ما اجازه می‌دهد بگوییم که می‌توان انتظار وقوع حوادث بیشتری را با این بدافزار در منطقه APAC داشت، بلکه این روند گسترده‌تر را پشتیبانی می‌کند که کاربران مخرب لزوماً در توسعه بدافزارهای جدید متمرکز نیستند، بلکه به‌جای آن، در تلاش برای موفقیت هرچه بیشتر، در توسعه موارد مخرب هستند.”