A Patchwork néven ismert csoport romantikus csalásokat használ, hogy Android eszközöket fertőzzön meg a VajraSpy nevű távoli hozzáférési trójai vírussal, írja az NKI.
A szlovák ESET kiberbiztonsági cég közölte, hogy 12 spyware alkalmazást fedezett fel, amelyek közül hatot a Google Play Store-ból lehetett letölteni. Ezeket együttesen több mint 1400 alkalommal töltöttek le 2021 áprilisa és 2023 márciusa között.
A VajraSpy számos kémkedési funkcióval rendelkezik, amelyek az alkalmazásnak adott engedélyek alapján bővíthetők. Ellopja a névjegyeket, fájlokat, hívásnaplókat és SMS üzeneteket, de egyes implementációi még WhatsApp és Signal üzeneteket is képesek kinyerni, telefonhívásokat rögzíteni és a kamerával képeket készíteni.
– jelentette az ESET kutatója.
A Google Play-en is terjesztett rosszindulatú alkalmazások elsősorban üzenetküldő alkalmazásoknak álcázták magukat. A legfrissebbek még 2023 szeptemberében terjedtek el.
- Privee Talk (
com.priv.talk
) - MeetMe (
com.meeete.org
) - Let’s Chat (
com.letsm.chat
) - Quick Chat (
com.qqc.chat
) - Rafaqat رفاق (
com.rafaqat.news
) - Chit Chat (
com.chit.chat
) - YohooTalk (
com.yoho.talk
) - TikTalk (
com.tik.talk
) - Hello Chat (
com.hello.chat
) - Nidus (
com.nidus.no
orcom.nionio.org
) - GlowChat (
com.glow.glow
) - Wave Chat (
com.wave.chat
)
A Rafaqat رفاق az egyetlen, amelyet nem üzenetküldő alkalmazásként, hanem friss hírek eléréséhez hirdették. A Google Playre 2022. október 26-án töltötte fel egy Mohammad Rizwan nevű fejlesztő, és összesen 1000 letöltést gyűjtött össze, mielőtt a Google törölte.
A kártevő pontos terjesztési vektora nem tisztázott, valószínűleg a célpontokat egy romantikus átverés részeként vették rá a letöltésre. Az elkövetők a biztonságosabb beszélgetés ürügyén meggyőzik az áldozatot, hogy telepítsék ezeket a káros alkalmazásokat.
Nem ez az első alkalom, hogy a Patchwork kihasználja ezt a technikát. 2023 márciusában a Meta fedte fel, hogy a hackercsapat fiktív személyiségeket hozott létre a Facebookon és az Instagramon, hogy hamis alkalmazásokhoz vezető linkeket osszon meg.
A malware-ral sem először találkoznak a kutatók, 2022 elején a kínai QiAnXin kiberbiztonsági vállalat dokumentálta a VajraRAT bevetését egy pakisztáni kormányzati és katonai szervezetek ellen irányuló kampányban. A nevét a szanszkrit villám szóból kapta.
Egy másik eset során pakisztáni és indiai pénzügyi motivációjú csoportok egy zsarolási átverés részeként hamis “gyors kölcsön” alkalmazással (Moneyfine vagy “com.moneyfine.fine
“) célozták meg az Android felhasználókat. A regisztrációs folyamat részeként feltöltött szelfit manipulálta, hogy meztelen képet készítsen, és azzal fenyegette meg az áldozatokat, hogy fizessenek, vagy a manipulált fényképeket továbbítják a kapcsolataiknak.
A Network Contagion Research Institute (NCRI) által nemrégiben közzétett jelentése szerint az ausztrál, kanadai és amerikai tinédzserek egyre gyakrabban válnak a nigériai székhelyű, Yahoo Boys néven ismert kiberbűnözői csoport által végrehajtott sextortion támadások célpontjává. A csoport elsősorban angolul beszélő kiskorúakat és fiatal felnőtteket céloznak meg az Instagramon, a Snapchaten és a Wizz-en. A Wizz-t azóta az Apple App Store-ból és a Google Play Store-ból is eltávolították.
Közeledik a Valentin nap, várhatóan megszaporodnak a “romantikus csalás” segítségével elkövetett csalási kísérletek. A témával kapcsolatban az NKI korábbi tájékoztatói itt és itt érhetőek el.