Троян VajraSpy обнаружен в 12 приложениях, шесть из которых были доступны в Google Play

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.646
Репутация
11.595
Реакции
61.567
RUB
50
Специалисты ESET троян удаленного доступа VajraSpy в 12 приложениях для Android.


Шесть из них были доступны в магазине Google Play с 1 апреля 2021 года по 10 сентября 2023 года.
Хотя сейчас эти приложения удалены из Google Play, они по-прежнему доступны в сторонних магазинах и в основном маскируются под различные мессенджеры и приложения для чтения новостей.


Один из фальшивых мессенджеров

После установки на устройство жертвы VajraSpy похищает личные данные пользователя, включая контакты и сообщения (в зависимости от полученных разрешений), а также может записывать телефонные разговоры.

Исследователи сообщают, что операторами этой кампании являются хакеры из APT-группировки Patchwork, которая активна с конца 2015 года, в основном атакуя пользователей в Пакистане. В 2022 году эта хак-группа раскрыла детали одной из своих кампаний, когда случайно RAT Ragnatela, который использовала в то время. Эта оплошность позволила аналитикам Malwarebytes собрать информацию о деятельности Patchwork.

Стоит отметить, что связь между VajraSpy и Patchwork впервые была компанией QiAnXin в 2022 году, которая отслеживает хакеров под идентификатором APT-Q-43.

Как теперь рассказывают специалисты ESET, в Google Play проникли шесть вредоносных приложений, которые успели загрузить около 1400 раз.

Так, в официальном магазине были доступны следующие приложения:

  • Rafaqat رفاقت (новости);
  • Privee Talk (мессенджер);
  • MeetMe (мессенджер);
  • Let's Chat (мессенджер);
  • Quick Chat (мессенджер);
  • Chit Chat (мессенджер).


Все приложения VajraSpy, доступные за пределами Google Play, так же представляют собой фальшивые мессенджеры:

  • Hello Chat;
  • YohooTalk;
  • TikTalk;
  • Nidus;
  • GlowChat;
  • Wave Chat.
Анализ телеметрии, проведенный ESET, показывает, что большинство жертв VajraSpy находятся в Пакистане и Индии. Исследователи полагают, что их обманом вынудили установить фальшивые мессенджеры на свои устройства, используя для этого романтический скам.

Как уже отмечалось выше, VajraSpy поддерживает различные шпионские функции, в основном связанные с кражей данных:
  • сбор и передача личных данных с зараженного устройства, включая контакты, журналы вызовов и SMS-сообщения;
  • перехват и извлечение сообщений из популярных мессенджеров, включая WhatsApp и Signal;
  • запись телефонных разговоров для подслушивания личных бесед;
  • активация камеры устройства для создания фото;
  • перехват уведомлений различных приложений в режиме реального времени;
  • поиск и кража документов, изображений, аудио и других типов файлов.

VajraSpy извлекает данные из WhatsApp

Аналитики отмечают, что главный козырь VajraSpy — это его модульный характер и возможность адаптации, а масштабы его шпионских возможностей определяются уровнем разрешений, которые вредонос в итоге получает на зараженном устройстве.


 
  • Теги
    google play vajraspy троян троян удаленного доступа
  • Сверху Снизу