Kaspersky, daha önce bilinmeyen bir Android casus yazılımı tespit etti. Bu kötü amaçlı modül, Hintli kullanıcıları hedefleyen bir seyahat uygulamasına yerleştirildi. Daha yakından bakıldığında, bunun Hindistan’da faaliyetler yürütmesiyle bilinen bir Uzaktan Erişim Truva Atı (RAT) olan GravityRAT ile ilgili olduğu ortaya çıktı. Araştırmalar derine indikçe, kötü amaçlı yazılımın arkasındaki grubun çok platformlu bir araç yapmak için çaba harcadığı doğrulandı. GravityRAT Windows işletim sistemlerini hedeflemenin yanı sıra artık Android ve Mac OS’te de yer alıyor.

2018’de siber güvenlik araştırmacıları GravityRAT ile ilgili gelişmeleri detaylı bir şekilde ele alan bir makale yayınladı. Bu araç Hindistan askeri hizmetlerine yönelik hedefli saldırılarda da kullanılmıştı. Kaspersky’nin verilerine göre, kampanya en az 2015’ten beri aktif durumda ve öncelikli olarak Windows işletim sistemlerine odaklanıyor. Ancak birkaç yıl önce durum değişti ve grup Android işletim sistemini hedef listesine ekledi.

GravityRAT’e ait yeni tanımlanan modül bu değişikliğin başka bir kanıtı. Ancak bu parça tipik bir Android casus yazılım parçası gibi görünmüyor. Genelde kötü amaçlı yazılımlar amaçlarını gerçekleştirmek için belirli bir uygulamayı seçer ve kötü amaçlı kod bunun içine gömülür. Yeni kod ise önceden bilinen casus yazılım uygulamalarının koduna benzemiyordu. Bu durum, Kaspersky araştırmacılarını modülü halihazırda bilinen APT aileleriyle karşılaştırmaya yöneltti.

Kullanılan komut ve kontrol (C&C) adreslerinin analizi, GravityRAT’ın arkasındaki aktörle ilgili birkaç ek kötü amaçlı modülü ortaya çıkardı. GravityRAT’ın medya oynatıcı ve güvenli dosya paylaşımı gibi meşru uygulamalara benzeyen normal yazılım görüntüsü altında dağıtılan 10’dan fazla sürümü bulundu. Bu modüller birlikte kullanıldığında grubun Windows OS, Mac OS ve Android’e erişimini sağladı.

Çoğu durumda etkinleştirilen işlevlerin listesi oldukça standart ve genellikle casus yazılımlar için beklenen türden. Modüller cihaz verilerini, kişi listelerini, e-posta adreslerini, arama günlüklerini ve SMS mesajlarını toplayabiliyor. Truva atlarından bazıları jpg, jpeg, log, png, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx ve aygıt belleğindeki opus uzantılı dosyaları komuta merkezine gönderebiliyor.

Kaspersky Güvenlik Uzmanı Tatyana Shishkova “Araştırmamız GravityRAT’ın arkasındaki aktörün casusluk kapasitelerine yatırım yapmaya devam ettiğini gösterdi” diyor. “Kurnazca kılık değiştirme çabaları ve genişletilmiş işletim sistemi portföyü yalnızca APAC bölgesinde bu kötü amaçlı yazılımın kullanıldığı daha fazla saldırı bekleyebileceğimizi işaret etmekle kalmıyor, aynı zamanda kötü niyetli kullanıcıların her seferinde yeni kötü amaçlı yazılım geliştirmeye odaklanmak yerine var olanları geliştirmeye yöneldiklerini de ortaya koyuyor.”