I ricercatori di di Cisco Talos avevano scoperto nel 2018 un tool di spionaggio, denominato GravityRAT, che consentiva il furto di vari tipi di dati dai computer Windows. Gli esperti di Kaspersky hanno ora confermato che lo spyware è diventato multi-piattaforma, in quanto può colpire anche macOS e Android. Gli autori dovrebbe essere gli stessi, ovvero hacker pakistani attivi dal 2015.
Analizzando il codice del RAT (Remote Access Trojan), i ricercatori di Kaspersky hanno individuato nuovi moduli che consentono di eseguire attacchi contro i sistemi operativi di Apple e Google. Sono state trovate oltre 10 versioni di GravityRAT camuffate da applicazioni legittime. Le vittime hanno probabilmente scaricato queste app dopo aver ricevuto un link tramite Facebook, email o app di messaggistica.
Le “funzionalità” di GravityRAT sono quelle tipiche di uno spyware: accesso a contatti, indirizzi email, SMS, cronologia chiamate, file (jpg, png, txt, pdf, xml, doc, docx, xls, xlsx, ppt, pptx), screenshot, registrazione audio, keylogger, esecuzione comandi di shell e scansione delle porte.
In base alle indagini, Kaspersky ritiene che lo sviluppo di GravityRAT è ancora attivo, quindi altre funzionalità potrebbero essere aggiunte nei prossimi mesi. I ricercatori consigliano alle aziende (target principale) di utilizzare sistemi di rilevamento delle minacce e di creare una whitelist di applicazioni sicure che possono essere installate sui dispositivi mobile.