По данным «Лаборатории Касперского», программа-шпион GravityRAT, которая используется для проведения целевых кибератак как минимум с 2015 года, теперь представляет собой мультиплатформенный инструмент. Этот зловред ранее применялся в кампании кибершпионажа, нацеленной на индийских военных, и изначально был разработан для Windows-устройств. Теперь же появились новые модули, направленные на операционные системы Android и macOS.
Эксперты «Лаборатории Касперского» впервые узнали о том, что GravityRAT научился атаковать и Android, когда увидели в приложении для путешественников по Индии вредоносный модуль, относящийся к данному семейству. Исследователи заинтересовались найденным образцом, поскольку он отличался от типичной шпионской Android-программы: для внедрения было выбрано специфическое приложение, а вредоносный код не был похож на код известного ПО такого типа. Вот почему они решили сопоставить код с кодом программ, используемых для проведения известных кампаний кибершпионажа, и в итоге обнаружили более десяти вредоносных модулей, также относящихся к семейству GravityRAT. Зловреды распространяются под видом легитимных приложений (таких как защищённые облачные хранилища, файлообменники, браузеры, программы для создания резюме или медиаплееры) и в фишинговых ссылках на скачивание якобы защищённого мессенджера для обсуждения вакансии. Вредоносное ПО атакует устройства под управлением Windows, Android и MacOS.
Функционал GravityRAT в большинстве случаев остаётся прежним, типичным для шпионского ПО. Зловред отправляет на командный сервер данные об устройстве, список контактов, электронные адреса, данные журнала звонков и СМС-сообщения. Некоторые троянцы искали в памяти устройства файлы с расширениями .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx и .opus и затем отправляли их на командно-контрольные серверы.
Чтобы компании не пострадали от атак шпионского ПО, «Лаборатория Касперского» рекомендует:
 — предоставить сотрудникам SOC-центра доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за более 20 лет работы «Лаборатории Касперского»;
 — для защиты конечных устройств, своевременного расследования и реагирования на инциденты внедрить EDR-решение, например Kaspersky Endpoint Detection and Response;
 — для защиты корпоративных устройств, включая те, которые работают под управлением Android, от вредоносных приложений использовать специализированное решение с функцией контроля приложений на мобильных устройствах. Это позволит быть уверенным в том, что на устройствах, имеющих доступ к конфиденциальной информации, устанавливаются только доверенные приложения из одобренного списка.