Il noto spyware GravityRAT, che inizialmente prendeva di mira i soli PC Windows, ora può attaccare e colpire anche Mac e dispositivi Android.
I Remote Access Trojans (RAT) si mascherano come app legittime per poi attivare l’accesso remoto alla macchina compromessa. La società di sicurezza informatica Kaspersky descrive il malware GravityRAT come “infamous” perché è stato utilizzato in attacchi anche contro obiettivi militari e consente un controllo quasi totale della macchina colpita.
Ecco cosa può fare GravityRAT:
- ottenere informazioni sul sistema
- cercare i file sul computer e sui dischi rimovibili con le estensioni .doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp e .ods e caricali sul server
- ottenere un elenco dei processi in esecuzione
- intercettare quanto viene digitato sulla tastiera
- fare screenshot
- eseguire comandi di shell arbitrari
- registrare audio (non implementata in questa versione per Mac e Android)
- scansionare delle porte
Da qualche tempo, questo spyware può attaccare anche dispositivi Android e Mac. Di solito, GravityRAT viene distribuito all’interno di applicazioni apparentemente legittime, come quelle per la condivisione di file o di riproduzione multimediale.
I Mac sono comunque ben protetti dai trojan perché, per impostazione predefinita, non è possibile installare software da fonti diverse dal Mac App Store. Se un utente ignora questa protezione predefinita, macOS controlla comunque se l’app è firmata da uno sviluppatore legittimo. In caso contrario, l’utente dovrà autorizzare manualmente l’installazione del software.
Tuttavia, BleepingComputer fa sapere che il gruppo dietro GravityRAT utilizza firme di sviluppatori legittimi rubate per far sembrare le app come sicure. Non è però possibile elencare le app infette, poiché GravityRAT imita una varietà software.
La migliore protezione è quella di installare solo app dal Mac App Store o direttamente dai siti di sviluppatori noti.