A Patchwork néven ismert csoport romantikus csalásokat használ, hogy Android eszközöket fertőzzön meg a VajraSpy nevű távoli hozzáférési trójai vírussal, írja az NKI.
A szlovák ESET kiberbiztonsági cég közölte, hogy 12 spyware alkalmazást fedezett fel, amelyek közül hatot a Google Play Store-ból lehetett letölteni. Ezeket együttesen több mint 1400 alkalommal töltöttek le 2021 áprilisa és 2023 márciusa között.
A VajraSpy számos kémkedési funkcióval rendelkezik, amelyek az alkalmazásnak adott engedélyek alapján bővíthetők. Ellopja a névjegyeket, fájlokat, hívásnaplókat és SMS üzeneteket, de egyes implementációi még WhatsApp és Signal üzeneteket is képesek kinyerni, telefonhívásokat rögzíteni és a kamerával képeket készíteni.
– jelentette az ESET kutatója.
A Google Play-en is terjesztett rosszindulatú alkalmazások elsősorban üzenetküldő alkalmazásoknak álcázták magukat. A legfrissebbek még 2023 szeptemberében terjedtek el.
- Privee Talk (
com.priv.talk) - MeetMe (
com.meeete.org) - Let’s Chat (
com.letsm.chat) - Quick Chat (
com.qqc.chat) - Rafaqat رفاق (
com.rafaqat.news) - Chit Chat (
com.chit.chat) - YohooTalk (
com.yoho.talk) - TikTalk (
com.tik.talk) - Hello Chat (
com.hello.chat) - Nidus (
com.nidus.noorcom.nionio.org) - GlowChat (
com.glow.glow) - Wave Chat (
com.wave.chat)
A Rafaqat رفاق az egyetlen, amelyet nem üzenetküldő alkalmazásként, hanem friss hírek eléréséhez hirdették. A Google Playre 2022. október 26-án töltötte fel egy Mohammad Rizwan nevű fejlesztő, és összesen 1000 letöltést gyűjtött össze, mielőtt a Google törölte.
A kártevő pontos terjesztési vektora nem tisztázott, valószínűleg a célpontokat egy romantikus átverés részeként vették rá a letöltésre. Az elkövetők a biztonságosabb beszélgetés ürügyén meggyőzik az áldozatot, hogy telepítsék ezeket a káros alkalmazásokat.
Nem ez az első alkalom, hogy a Patchwork kihasználja ezt a technikát. 2023 márciusában a Meta fedte fel, hogy a hackercsapat fiktív személyiségeket hozott létre a Facebookon és az Instagramon, hogy hamis alkalmazásokhoz vezető linkeket osszon meg.
A malware-ral sem először találkoznak a kutatók, 2022 elején a kínai QiAnXin kiberbiztonsági vállalat dokumentálta a VajraRAT bevetését egy pakisztáni kormányzati és katonai szervezetek ellen irányuló kampányban. A nevét a szanszkrit villám szóból kapta.
Egy másik eset során pakisztáni és indiai pénzügyi motivációjú csoportok egy zsarolási átverés részeként hamis “gyors kölcsön” alkalmazással (Moneyfine vagy “com.moneyfine.fine“) célozták meg az Android felhasználókat. A regisztrációs folyamat részeként feltöltött szelfit manipulálta, hogy meztelen képet készítsen, és azzal fenyegette meg az áldozatokat, hogy fizessenek, vagy a manipulált fényképeket továbbítják a kapcsolataiknak.
A Network Contagion Research Institute (NCRI) által nemrégiben közzétett jelentése szerint az ausztrál, kanadai és amerikai tinédzserek egyre gyakrabban válnak a nigériai székhelyű, Yahoo Boys néven ismert kiberbűnözői csoport által végrehajtott sextortion támadások célpontjává. A csoport elsősorban angolul beszélő kiskorúakat és fiatal felnőtteket céloznak meg az Instagramon, a Snapchaten és a Wizz-en. A Wizz-t azóta az Apple App Store-ból és a Google Play Store-ból is eltávolították.
Közeledik a Valentin nap, várhatóan megszaporodnak a “romantikus csalás” segítségével elkövetett csalási kísérletek. A témával kapcsolatban az NKI korábbi tájékoztatói itt és itt érhetőek el.
