La compañía de ciberseguridad Kaspersky ha emitido un comunicado para informar que la campaña del spyware GravityRAT sigue activa y que además ha creado una herramienta multiplataforma para dirigirse a más sistemas operativos.
GravityRAT es un módulo malicioso cuyos desarrollos fueron recogidos en un resumen elaborado por investigadores de ciberseguridad en 2018. La herramienta había sido utilizada en ataques dirigidos contra los servicios militares de la India. Según datos de Kaspersky, la campaña ha estado activa al menos desde el año 2015 y se había centrado principalmente en Windows. Sin embargo, la compañía asegura que hace un par de años el grupo añadió Android a su lista de objetivos.
Kaspersky detectó más de 10 versiones de GravityRAT
"El módulo identificado era una prueba más de este cambio, y había varias razones por las que no parecía una pieza típica de spyware para Android. Por ejemplo, hay que seleccionar una aplicación específica para llevar a cabo actividades maliciosas, y el código malicioso no se basaba en el código de aplicaciones de spyware previamente conocidas como suele ser habitual", explica Kaspersky.
Esto llevó a los investigadores de la compañía a comparar el módulo con familias ATP ya conocidas y, el análisis de las direcciones de comando y control (C&C) utilizadas, reveló varios módulos maliciosos adicionales también relacionados con GravityRAT. "En total, se encontraron más de 10 versiones de GravityRAT, que se distribuyen bajo el disfraz de aplicaciones legítimas, como las aplicaciones de intercambio de archivos seguros que ayudarían a proteger los dispositivos de los usuarios contra ransomware, o los reproductores de medios. Usados en conjunto, estos módulos permitieron al grupo acceder al sistema operativo Windows, Mac OS y Android", prosigue la empresa de ciberseguridad.
Kaspersky también señala que, en la mayoría de los casos, la lista de funciones habilitadas era bastante estándar y típicamente de un spyware. Y agrega: "Los módulos pueden recuperar datos de dispositivos, listas de contactos, direcciones de correo electrónico, registros de llamadas y mensajes SMS. Algunos de los troyanos también buscaban archivos con extensiones .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx, y .opus en la memoria de un dispositivo para enviarlos también al C&C".
"GravityRAT sigue invirtiendo en sus capacidades de espionaje"
Tatyana Shishkova, experta en seguridad de Kaspersky, ha afirmado que su investigación "detectó que el actor detrás de GravityRAT sigue invirtiendo en sus capacidades de espionaje. El disfraz utilizado y una cartera de sistemas operativos ampliada no sólo nos permiten decir que podemos esperar más incidentes con este malware en la región APAC, sino que esto también apoya la tendencia más amplia de que los usuarios maliciosos no están necesariamente centrados en el desarrollo de nuevos malware, sino que desarrollan los ya probados en su lugar en un intento de tener el mayor éxito posible".
Recomendaciones para protegerse frente a amenazas de spyware
En su comunicado, Kapsersky también ha recomendado tomar las siguientes medidas de seguridad para protegerse frente a amenazas de spyware:
- Proporcionar al equipo SOC acceso a la última información sobre amenazas (TI).
- Implementar soluciones EDR fiables para la detección a nivel del endpoint, la investigación y la reparación oportuna de los incidentes.
- Para proteger los dispositivos corporativos, incluidos los de Android, de las aplicaciones maliciosas, utilice una solución de seguridad para endpoint con control de aplicaciones móviles. Esto puede asegurar que sólo las aplicaciones de confianza previamente aprobadas puedan ser instaladas en los dispositivos con acceso a datos corporativos sensibles.