MojAndroid
(x) hirdetés

A Patchwork néven ismert csoport romantikus csalásokat használ, hogy Android eszközöket fertőzzön meg a VajraSpy nevű távoli hozzáférési trójai vírussal, írja az NKI.

A szlovák ESET kiberbiztonsági cég közölte, hogy 12 spyware alkalmazást fedezett fel, amelyek közül hatot a Google Play Store-ból lehetett letölteni. Ezeket együttesen több mint 1400 alkalommal töltöttek le 2021 áprilisa és 2023 márciusa között.

A VajraSpy számos kémkedési funkcióval rendelkezik, amelyek az alkalmazásnak adott engedélyek alapján bővíthetők. Ellopja a névjegyeket, fájlokat, hívásnaplókat és SMS üzeneteket, de egyes implementációi még WhatsApp és Signal üzeneteket is képesek kinyerni, telefonhívásokat rögzíteni és a kamerával képeket készíteni.

– jelentette az ESET kutatója.

A Google Play-en is terjesztett rosszindulatú alkalmazások elsősorban üzenetküldő alkalmazásoknak álcázták magukat. A legfrissebbek még 2023 szeptemberében terjedtek el.

  • Privee Talk (com.priv.talk)
  • MeetMe (com.meeete.org)
  • Let’s Chat (com.letsm.chat)
  • Quick Chat (com.qqc.chat)
  • Rafaqat رفاق (com.rafaqat.news)
  • Chit Chat (com.chit.chat)
  • YohooTalk (com.yoho.talk)
  • TikTalk (com.tik.talk)
  • Hello Chat (com.hello.chat)
  • Nidus (com.nidus.no or com.nionio.org)
  • GlowChat (com.glow.glow)
  • Wave Chat (com.wave.chat)

A Rafaqat رفاق  az egyetlen, amelyet nem üzenetküldő alkalmazásként, hanem friss hírek eléréséhez hirdették. A Google Playre 2022. október 26-án töltötte fel egy Mohammad Rizwan nevű fejlesztő, és összesen 1000 letöltést gyűjtött össze, mielőtt a Google törölte.

A kártevő pontos terjesztési vektora nem tisztázott, valószínűleg a célpontokat egy romantikus átverés részeként vették rá a letöltésre. Az elkövetők a biztonságosabb beszélgetés ürügyén meggyőzik az áldozatot, hogy telepítsék ezeket a káros alkalmazásokat.

Nem ez az első alkalom, hogy a Patchwork kihasználja ezt a technikát. 2023 márciusában a Meta fedte fel, hogy a hackercsapat fiktív személyiségeket hozott létre a Facebookon és az Instagramon, hogy hamis alkalmazásokhoz vezető linkeket osszon meg.

A malware-ral sem először találkoznak a kutatók, 2022 elején a kínai QiAnXin kiberbiztonsági vállalat dokumentálta a VajraRAT bevetését egy pakisztáni kormányzati és katonai szervezetek ellen irányuló kampányban. A nevét a szanszkrit villám szóból kapta.

Egy másik eset során pakisztáni és indiai pénzügyi motivációjú csoportok egy zsarolási átverés részeként hamis “gyors kölcsön” alkalmazással (Moneyfine vagy “com.moneyfine.fine“) célozták meg az Android felhasználókat. A regisztrációs folyamat részeként feltöltött szelfit manipulálta, hogy meztelen képet készítsen, és azzal fenyegette meg az áldozatokat, hogy fizessenek, vagy a manipulált fényképeket továbbítják a kapcsolataiknak.

A Network Contagion Research Institute (NCRI) által nemrégiben közzétett jelentése szerint az ausztrál, kanadai és amerikai tinédzserek egyre gyakrabban válnak a nigériai székhelyű, Yahoo Boys néven ismert kiberbűnözői csoport által végrehajtott sextortion támadások célpontjává. A csoport elsősorban angolul beszélő kiskorúakat és fiatal felnőtteket céloznak meg az Instagramon, a Snapchaten és a Wizz-en. A Wizz-t azóta az Apple App Store-ból és a Google Play Store-ból is eltávolították.

Közeledik a Valentin nap, várhatóan megszaporodnak a “romantikus csalás” segítségével elkövetett csalási kísérletek. A témával kapcsolatban az NKI korábbi tájékoztatói itt és itt érhetőek el.

(NKI)

(x) hirdetés
2024.02.06.

Ezeket már olvastad?

+