Вредоносное ПО для Windows под названием GravityRAT, известное своей способностью обнаруживать песочницу и виртуальную машину путем проверки температуры центрального процессора, теперь может заражать Android- и macOS-устройства. Троян для удаленного доступа (RAT) GravityRAT находится в активной разработке предположительно пакистанской киберпреступной группировкой как минимум с 2015 года и используется в целевых атаках на военные организации Индии. Ранее GravityRAT атаковал исключительно Windows-ПК, однако обнаруженный специалистами «Лаборатории Касперского» образец свидетельствует о том, что теперь вредонос нацелен также на Android- и macOS-устройства. Более того, киберпреступники стали подписывать свой код цифровой подписью, чтобы вредоносные приложения выглядели более похожими на легитимные. Специалисты «Лаборатории Касперского» обнаружили обновленный вариант GravityRAT во время анализа шпионских Android-приложений (в том числе Travel Mate Pro). Эти приложения похищают контакты, электронные письма и документы и отправляют их на online C&C-сервер nortonupdates[.]online, который также используется двумя другими вредоносными приложениями (Enigma и Titanium), атакующими Windows и macOS. В ходе анализа адресного C&C-модуля исследователи выявили несколько дополнительных вредоносных модулей, также связанных с операторами GravityRAT. В общей сложности были обнаружены более десяти версий вредоноса, распространяемых под видом легитимных приложений для обмена файлами или медиаплееров. Специалисты выявили приложения, написанные на языках .NET, Python и Electron, являющиеся «клонами» легитимных приложений, которые загружают с C&C-сервера полезную нагрузку GravityRAT и добавляют на зараженное устройство запланированную задачу для сохранения персистентности. В период с 2015-го по 2018 год было обнаружено около ста успешных атак с использованием данного вредоноса. В число жертв GravityRAT входят военнослужащие и полицейские. Хотя векторы заражения точно не установлены, специалисты предполагают, что жертвы, вероятно, получают сообщения с ссылками на вредоносные приложения.