卡巴斯基发现了一种之前未知的安卓间谍软件。
这种模块被插入到一种针对印度用户的旅行应用中。仔细分析显示,该恶意软件与 GravityRAT有关。GravityRAT 是一种远程访问木马(RAT),以在印度进行攻击活动而闻名。进一步的调查证实,该恶意软件背后的组织投入了精力,将其制作成一个多平台工具。除了针对 Windows 操作系统进行攻击外,该恶意软件现在还能攻击安卓和Mac OS。而且,相关的攻击行动仍在进行。
2018年,网络安全研究人员发表了一份关于GravityRAT 发展情况的概述报告。这种工具被用来针对印度的军事部门进行针对性攻击。根据卡巴斯基的数据,这种攻击活动至少从2015年就开始活跃,其主要攻击目标为 Windows 操作系统。但是几年前,情况发生了变化,该威胁组织将安卓系统加入到攻击列表。
新发现的模块进一步证明了这种变化,并且有很多原因使其看起来不像是一款典型的安卓间谍软件。例如,必须选择一个特定的应用程序来执行恶意目的,而且通常情况下,其恶意代码不是基于以前已知的间谍软件应用程序的代码。这促使卡巴斯基研究人员将该模块与已知的 APT 家族进行比较。
对恶意软件使用的命令和控制(C&C)服务器地址进行分析,发现了多个额外的恶意模块也与 GravityRAT 幕后的威胁行为者有关。总体来看,共发现了超过10个版本的GravityRAT,它们被伪装成合法的应用程序进行分发,例如伪装成能够保护用户设备不受加密木马危害的安全文件分享应用或媒体播放器。通过配合使用这些模块,该威胁组织能够入侵 Windows、Mac OS 和 安卓系统。
大多数情况下,这些模块启用的功能非常标准,是典型的间谍软件功能。这些模块能够获取设备数据、联系人名单、邮件地址、通话记录和短信。有些木马还会在设备内存中查找扩展名为 .jpg、.jpeg、.log、.pgn、.txt、.pdf、.xml、.doc、.xls、.xlsx、.ppt、.pptx、.docx 和 .opus 的文件,并将其发送到 C&C。
“我们的调查显示,GravityRAT 幕后的威胁行为者仍在投资开发该恶意软件的间谍功能。狡猾的伪装技术以及更多可攻击的操作系统,让我们可以预测该恶意软件将在亚太地区造成更多攻击事件,同时也证明了一个更为广泛的趋势,即恶意用户不一定专注于开发新的恶意软件,而是开发成熟的恶意软件并尽可能做到成功,”卡巴斯基安全专家 Tatyana Shishkova 评论说。
为了远离间谍软件威胁,卡巴斯基建议采取以下安全措施:
- 为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。
- 为了获得端点级别的检测和及时的事件调查和修复,请保护署 EDR 解决方案,例如卡巴斯基端点检测和响应。
- 为了保护包括安卓设备在内的企业设备不受恶意应用的侵害,请使用具备移动应用控制功能的端点安全解决方案。这样做能够确保只有来自批准的白名单中的受信任应用才能安装到能够访问敏感企业数据的设备上。
更多有关这种威胁的详情,请查看 Securelist 上的完整报告。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
