gnews




Security

Περισσότερες εφαρμογές Android γεμάτες κακόβουλο λογισμικό εντοπίστηκαν στο Google Play


By


Marizas Dimitris

Android



Ένας trojan απομακρυσμένης πρόσβασης Android (RAT) γνωστός ως VajraSpy βρέθηκε σε 12 κακόβουλες εφαρμογές, έξι από τις οποίες ήταν διαθέσιμες στο Google Play από την 1η Απριλίου 2021 έως τις 10 Σεπτεμβρίου 2023.

Οι κακόβουλες εφαρμογές, οι οποίες έχουν πλέον καταργηθεί από το Google Play, αλλά παραμένουν διαθέσιμες σε καταστή

α εφαρμογών τρίτων, είναι μεταμφιεσμένες ως εφαρμογές ανταλλαγής μηνυμάτων ή ειδήσεων.

Όσοι εγκατέστησαν τις εφαρμογές μολύνθηκαν με το VajraSpy, επιτρέποντας στο κακόβουλο λογισμικό να κλέβει προσωπικά δεδομένα, συμπεριλαμβανομένων των επαφών και των μηνυμάτων, και ανάλογα με τις χορηγούμενες άδειες, ακόμη και να καταγράφει τις τηλεφωνικές τους κλήσεις.

Οι ερευνητές της ESET που αποκάλυψαν την καμπάνια αναφέρουν ότι οι χειριστές της είναι η ομάδα Patchwork APT, η οποία δραστηριοποιείται τουλάχιστον από τα τέλη του 2015, στοχεύοντας κυρίως χρήστες στο Πακιστάν.


2022, ο ηθοποιός των απειλών αποκάλυψε ακούσια λεπτομέρειες της δικής του καμπάνιας όταν μόλυναν κατά λάθος την υποδομή τους με το «Ragnatela» RAT, ένα εργαλείο που χρησιμοποιούσαν εκείνη την εποχή. Αυτό το λάθος παρείχε στο Malwarebytes ένα παράθυρο στις λειτουργίες του Patchwork.

Ο σύνδεσμος μεταξύ του VajraSpy και του συμπλέγματος δραστηριοτήτων αυτό

Η ESET προσδιορίζεται ως Patchwork

ιδρύθηκε για πρώτη φορά από

QiAnXin

το 2022 (που αποδίδεται στο APT-Q-43), ακολουθούμενο από

Μετα

τον Μάρτιο του 2023 και

Qihoo 360

τον Νοέμβριο του 2023 (που αποδίδεται στο APT-C-52).

Κατασκοπεία Android

Ο ερευνητής της ESET, Lukas Stefanko, βρήκε 12 κακόβουλες εφαρμογές Android που περιείχαν τον ίδιο κώδικα VajraSpy RAT, έξι από τις οποίες ανέβηκαν στο Google Play, όπου κατέβηκαν περίπου 1.400 φορές.

Οι εφαρμογές που ήταν διαθέσιμες στο Google Play είναι:

  1. Rafaqat رفاقت (ειδήσεις)
  2. Privee Talk (μηνύματα)
  3. MeetMe (μηνύματα)
  4. Ας κουβεντιάζουμε (μηνύματα)
  5. Γρήγορη συνομιλία (μηνύματα)
  6. Chit Chat (μηνύματα)

Οι εφαρμογές VajraSpy που διατίθενται εκτός του Google Play είναι όλες ψευδείς εφαρμογές ανταλλαγής μηνυμάτων:

  1. Γεια σου Chat
  2. YohooTalk
  3. TikTalk
  4. Φωλιά
  5. GlowChat
  6. Wave Chat
Χρονολόγιο της καμπάνιας και των εφαρμογών που χρησιμοποιήθηκαν

Χρονολόγιο της καμπάνιας και των εφαρμογών που χρησιμοποιήθηκαν


(ESET)

Τα καταστήματα εφαρμογών τρίτων δεν αναφέρουν τον αριθμό των λήψεων, επομένως ο αριθμός των ατόμων που τα έχουν εγκαταστήσει μέσω αυτών των πλατφορμών είναι άγνωστος.

Η ανάλυση τηλεμετρίας της ESET δείχνει ότι τα περισσότερα θύματα βρίσκονται στο Πακιστάν και την Ινδία και πιθανότατα εξαπατήθηκαν για να εγκαταστήσουν τις εφαρμογές ψεύτικων μηνυμάτων μέσω μιας ερωτικής απάτης.

Δύο από τις 11 ψεύτικες εφαρμογές συνομιλίας

Δύο από τις 12 ψεύτικες εφαρμογές


(ESET)

Το VajraSpy είναι ένα λογισμικό υποκλοπής spyware και RAT που υποστηρίζει διάφορες λειτουργίες κατασκοπείας που ως επί το πλείστον περιστρέφονται γύρω από την κλοπή δεδομένων. Οι δυνατότητές του συνοψίζονται ως εξής:

  • Συλλέξτε και μεταδώστε προσωπικά δεδομένα από τη μολυσμένη

    , συμπεριλαμβανομένων επαφών, αρχείων καταγραφής κλήσεων και μηνυμάτων SMS.
  • Υποκλέψτε και εξάγετε μηνύματα από δημοφιλείς εφαρμογές κρυπτογραφημένης επικοινωνίας όπως το WhatsApp και το

    .
  • Ηχογραφήστε τηλεφωνικές κλήσεις για να ενεργοποιήσετε την υποκλοπή προσωπικών συνομιλιών.
  • Ενεργοποιήστε την κάμερα της συσκευής για λήψη φωτογραφιών, μετατρέποντάς την σε εργαλείο επιτήρησης.
  • Υποκλοπή ειδοποιήσεων από διάφορες εφαρμογές σε πραγματικό χρόνο.
  • Αναζήτηση και εξαγωγή εγγράφων, εικόνων, ήχου και άλλων τύπων αρχείων.
Δεδομένα καταγραφής VajraSpy από το WhatsApp

Δεδομένα καταγραφής VajraSpy από το WhatsApp


(ESET)

Η δύναμη του VajraSpy έγκειται στον αρθρωτό χαρακτήρα και την προσαρμοστικότητά του, ενώ η έκταση των κατασκοπευτικών του δυνατοτήτων καθορίζεται από το επίπεδο των αδειών που αποκτά σε μια μολυσμένη συσκευή.

Η ESET καταλήγει συμβουλεύοντας ότι οι χρήστες θα πρέπει να απέχουν από τη λήψη σκοτεινών εφαρμογών συνομιλίας που προτείνονται από άτομα που δεν γνωρίζουν, καθώς αυτή είναι μια κοινή και μακροχρόνια τακτική που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου για να διεισδύσουν σε συσκευές.

Ενώ το Google Play εισάγει νέες πολιτικές που δυσκολεύουν την απόκρυψη του κακόβουλου λογισμικού στις εφαρμογές, οι παράγοντες απειλών συνεχίζουν να εισβάλλουν κρυφά τις κακόβουλες εφαρμογές τους στην πλατφόρμα.

Οι προηγούμενες επιθέσεις είχαν πολύ καλύτερη απόδοση από αυτήν την καμπάνια spyware VajraSpy, όπως μια καμπάνια adware του Οκτωβρίου που συγκέντρωσε 2 εκατομμύρια εγκαταστάσεις.

Πιο πρόσφατα, ανακαλύφθηκε ότι το κακόβουλο λογισμικό κλοπής πληροφοριών

κατέβηκε 12 εκατομμύρια φορές από το Google Play το 2023.


VIA:

bleepingcomputer.com


Συντάκτης του Άρθρου




Marizas Dimitris
Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.
Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.

Προηγούμενο άρθρο

Το Bard AI της Google μπορεί τώρα να δημιουργήσει εικόνες

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ


Ακύρωση απάντησης



εισάγετε το σχόλιό σας!

παρακαλώ εισάγετε το όνομά σας εδώ







Stay Connected


4,234


Υποστηρικτές



Κάντε Like


34


Ακόλουθοι



Ακολουθήστε


3,542


Ακόλουθοι



Ακολουθήστε


432


Ακόλουθοι



Ακολουθήστε


0


Ακόλουθοι



Ακολουθήστε


251


Συνδρομητές



Γίνετε συνδρομητής



ΠΡΟΣΦΑΤΑ ΑΡΘΡΑ


Φόρτωση περισσοτέρων