Yapılan açıklamaya göre, bu durumun Hindistan’da faaliyetler yürütmesiyle bilinen bir Uzaktan Erişim Truva Atı (RAT) olan GravityRAT ile ilgili olduğu ortaya çıktı. Araştırmalarda, kötü amaçlı yazılımın arkasındaki grubun çok platformlu bir araç yapmak için çaba harcadığı doğrulandı. GravityRAT Windows işletim sistemlerini hedeflemenin yanı sıra artık Android ve Mac OS’te de yer alıyor.
2018’de siber güvenlik araştırmacıları GravityRAT ile ilgili gelişmeleri detaylı bir şekilde ele alan bir makale yayınladı. Bu araç Hindistan askeri hizmetlerine yönelik hedefli saldırılarda da kullanılmıştı. Kaspersky’nin verilerine göre, kampanya en az 2015’ten beri aktif durumda ve öncelikli olarak Windows işletim sistemlerine odaklanıyor. Grup Android işletim sistemini hedef listesine ekledi.
GravityRAT’e ait yeni tanımlanan modül bu değişikliğin başka bir belirtisi oldu. Ancak bu parça tipik bir Android casus yazılım parçası gibi görünmüyor. Genelde kötü amaçlı yazılımlar amaçlarını gerçekleştirmek için belirli bir uygulamayı seçiyor ve kötü amaçlı kod bunun içine gömülüyor. Yeni kod ise önceden bilinen casus yazılım uygulamalarının koduna benzemiyor. Bu durum, Kaspersky araştırmacılarını modulü bilinen APT aileleriyle karşılaştırmaya yöneltti.
Modüller cihaz verilerini toplayabiliyor
Kullanılan komut ve kontrol adreslerinin analizi, GravityRAT’ın arkasındaki aktörle ilgili birkaç ek kötü amaçlı modülü ortaya çıkardı. GravityRAT’ın medya oynatıcı ve güvenli dosya paylaşımı gibi meşru uygulamalara benzeyen normal yazılım görüntüsü altında dağıtılan 10’dan fazla sürümü bulundu. Bu modüller birlikte kullanıldığında grubun Windows OS, Mac OS ve Android’e erişimini sağladı.
Modüller cihaz verilerini, kişi listelerini, e-posta adreslerini, arama günlüklerini ve SMS mesajlarını toplayabiliyor. Truva atlarından bazıları jpg, jpeg, log, png, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx ve aygıt belleğindeki opus uzantılı dosyaları komuta merkezine gönderebiliyor.
Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Uzmanı Tatyana Shishkova, “Araştırmamız GravityRAT’ın arkasındaki aktörün casusluk kapasitelerine yatırım yapmaya devam ettiğini gösterdi. Kurnazca kılık değiştirme çabaları ve genişletilmiş işletim sistemi portföyü yalnızca APAC bölgesinde bu kötü amaçlı yazılımın kullanıldığı daha fazla saldırı bekleyebileceğimizi işaret etmekle kalmıyor, aynı zamanda kötü niyetli kullanıcıların her seferinde yeni kötü amaçlı yazılım geliştirmeye odaklanmak yerine var olanları geliştirmeye yöneldiklerini de ortaya koyuyor.” ifadelerini kullandı.