Các thiết bị macOS và Android là đích nhắm của mã độc Windows GravityRAT tấn công mở rộng

Một mã độc RAT Windows do nhóm tin tặc Pakistan thiết kế để xâm nhập vào máy tính và đánh cắp dữ liệu người dùng đã tái xuất sau hai năm “im hơi lặng tiếng” với nhiều kỹ thuật cải tiến hơn và nhắm mục tiêu tới các thiết bị Android, macOS.

Theo công ty an ninh mạng Kaspersky, mã độc có tên “GravityRAT” này hiện đang giả mạo các ứng dụng Android và macOS hợp pháp để thu thập dữ liệu thiết bị, danh sách liên hệ, địa chỉ email, cùng nhật ký cuộc gọi, tin nhắn của người dùng và truyền chúng đến một máy chủ do kẻ tấn công kiểm soát.

Được ghi nhận lần đầu tiên bởi Trung tâm ứng cứu khẩn cấp không gian mạng Ấn Độ (CERT-In) vào tháng 8 năm 2017 và tiếp theo là Cisco Talos vào tháng 4 năm 2018, GravityRAT nổi tiếng với việc nhắm mục tiêu vào các cơ quan và tổ chức Ấn Độ thông qua các tài liệu Microsoft Office Word có chứa mã độc kể từ năm 2015.

Cisco cho biết nhóm tin tặc đã phát triển ít nhất bốn phiên bản khác nhau của công cụ gián điệp. Điều này cho thấy “kẻ tấn công đã khá thông minh khi giữ cho cơ sở hạ tầng của mình an toàn và tránh để nó bị đưa vào danh sách đen của các nhà cung cấp giải pháp bảo mật.”

Cũng mới vừa năm ngoái, có thông tin cho rằng các gián điệp người Pakistan đã sử dụng nhiều tài khoản Facebook giả để tiếp cận với hơn 98 quan chức từ các tổ chức và lực lượng quốc phòng của Ấn Độ như Quân đội, Không quân và Hải quân Ấn Độ. Sau đó lừa họ cài đặt một mã độc được ngụy trang dưới dạng ứng dụng nhắn tin bảo mật có tên là Whisper.

Nhưng ngay cả khi phiên bản mới nhất của GravityRAT đã vượt ra ngoài khả năng phát hiện của các phần mềm diệt mã độc và có thể triển khai tấn công đa nền tảng (trên cả Android và macOS), thì cách thức hoạt động của nó vẫn giữ nguyên. Mã độc này vẫn thực hiện lây nhiễm qua việc gửi các đường link độc hại dẫn tới các ứng dụng Android bẫy như Travel Mate Pro, hay các ứng dụng macOS giả mạo như Enigma, Titanium.

Kaspersky cho biết họ đã tìm thấy hơn 10 phiên bản GravityRAT đang được phát tán dưới vỏ bọc của các ứng dụng hợp pháp bằng cách thực hiện tham chiếu chéo các địa chỉ máy chủ C2 mà trojan này sử dụng.

Nhìn chung, các ứng dụng bị trojan hóa trải dài trên các danh mục liên quan đến du lịch, chia sẻ file, trình phát đa phương tiện, và truyện tranh dành cho người lớn trên các nền tảng Android, macOS và Windows. Từ đó cho phép kẻ tấn công thu thập thông tin hệ thống, tài liệu với phần mở rộng cụ thể, danh sách các tiến trình đang chạy, ghi lại các thao tác bàn phím, chụp ảnh màn hình, và thậm chí thực hiện các lệnh Shell tùy ý.

“Cuộc điều tra của chúng tôi đã cho thấy kẻ đứng sau GravityRAT đang nỗ lực đầu tư vào năng lực gián điệp cho mã độc này,” chuyên gia bảo mật Tatyana Shishkova của Kaspersky cho biết.

“Sự ngụy trang khéo léo và việc mở rộng tấn công đa hệ điều hành của GravityRAT không chỉ dự báo những nguy cơ tiềm ẩn của mã độc này trong khu vực APAC, mà nó còn làm vững mạnh thêm quan điểm tập trung cải tiến mã độc đã có trước đó và tích hợp nó với nhiều khả năng nhất có thể, thay vì bỏ công sức phát triển một loại mã độc mới.”

Theo The Hacker News