Um trojan de acesso remoto para Android (RAT), conhecido como VajraSpy, foi encontrado em 12 aplicações maliciosas, seis das quais estiveram disponíveis no Google Play de 1 de abril de 2021 a 10 de setembro de 2023.
Os aplicativos maliciosos, que agora foram removidos do Google Play, mas ainda estão disponíveis em lojas de aplicativos de terceiros, estão disfarçados como aplicativos de mensagens ou notícias.
Aqueles que instalaram os aplicativos foram infectados com o VajraSpy, permitindo o roubo de dados pessoais pelo malware, incluindo contatos e mensagens, e dependendo das permissões concedidas, até mesmo a gravação de suas chamadas telefônicas.
Pesquisadores da ESET que descobriram a campanha relatam que seus operadores são o grupo APT Patchwork, que tem estado ativo desde pelo menos o final de 2015, visando principalmente usuários no Paquistão.
Em 2022, o ator da ameaça revelou detalhes da própria campanha acidentalmente quando infectou sua infraestrutura com o RAT 'Ragnatela', uma ferramenta que estavam empregando na época.
Esse erro forneceu à Malwarebytes uma janela para as operações do Patchwork.
A ligação entre o VajraSpy e o agrupamento de atividades que a ESET identifica como Patchwork foi estabelecida pela primeira vez pela QiAnXin em 2022 (atribuída ao APT-Q-43), seguida pela Meta em março de 2023 e Qihoo 360 em novembro de 2023 (atribuída ao APT-C-52).
O pesquisador da ESET, Lukas Stefanko, encontrou 12 aplicativos Android maliciosos contendo o mesmo código RAT do VajraSpy, seis dos quais foram carregados no Google Play, onde foram baixados cerca de 1.400 vezes.
Os aplicativos que estavam disponíveis no Google Play são:
Rafaqat رفاقت (notícias)
Privee Talk (mensagens)
MeetMe (mensagens)
Let's Chat (mensagens)
Quick Chat (mensagens)
Chit Chat (mensagens)
Os aplicativos VajraSpy disponíveis fora do Google Play são todos aplicativos de mensagens falsos:
Hello Chat
YohooTalk
TikTalk
Nidus
GlowChat
Wave Chat
As lojas de aplicativos de terceiros não relatam contagens de downloads, então o número de pessoas que os instalaram por meio dessas plataformas é desconhecido.
A análise da telemetria da ESET indica que a maioria das vítimas está localizada no Paquistão e na Índia e provavelmente são enganadas para instalar os aplicativos de mensagens falsos através de um golpe de romance.
VajraSpy é um spyware e RAT que suporta várias funcionalidades de espionagem que giram principalmente em torno do roubo de dados.
Suas capacidades são resumidas da seguinte forma:
Coletar e transmitir dados pessoais do dispositivo infectado, incluindo contatos, registros de chamadas e mensagens SMS.
Interceptar e extrair mensagens de aplicativos de comunicação criptografados populares como WhatsApp e Signal.
Gravar chamadas telefônicas para possibilitar a espionagem de conversas privadas.
Ativar a câmera do dispositivo para tirar fotos, transformando-o em uma ferramenta de vigilância.
Interceptar notificações de vários aplicativos em tempo real.
Pesquisar e exfiltrar documentos, imagens, áudio e outros tipos de arquivos.
O poder do VajraSpy reside em sua natureza modular e adaptabilidade, enquanto a extensão de suas capacidades de espionagem é determinada pelo nível de permissões que obtém em um dispositivo infectado.
A ESET conclui aconselhando que os usuários devem se abster de baixar aplicativos de chat obscuros recomendados por pessoas que não conhecem, pois essa é uma tática comum e antiga que os cibercriminosos usam para infiltrar dispositivos.
Embora o Google Play introduza novas políticas que tornam mais difícil para os malwares se esconderem nos aplicativos, os atores da ameaça continuam a introduzir seus aplicativos maliciosos na plataforma.
Ataques anteriores tiveram desempenho muito melhor do que essa campanha de spyware VajraSpy, como uma campanha de adware em outubro que acumulou 2 milhões de instalações.
Mais recentemente, foi descoberto que o malware de roubo de informações SpyLoan foi baixado 12 milhões de vezes do Google Play em 2023.
Atualização 2/2 - Um porta-voz do Google enviou ao BleepingComputer o seguinte comentário:
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...