Patchwork Usando Iscas de Golpes Românticos para Infectar Dispositivos Android com Malware VajraSpy
6 de Fevereiro de 2024

O ator de ameaças conhecido como Patchwork provavelmente usou iscas de golpes românticos para atrair vítimas no Paquistão e na Índia, e infectar seus dispositivos Android com um trojan de acesso remoto chamado VajraSpy.

A empresa de segurança de informação eslovaca ESET afirmou ter descoberto 12 aplicativos de espionagem, seis dos quais estavam disponíveis para download na Google Play Store oficial e foram baixados mais de 1.400 vezes entre abril de 2021 e março de 2023.

"VajraSpy tem uma gama de funcionalidades de espionagem que podem ser expandidas com base nas permissões concedidas ao aplicativo que acompanha seu código", disse o pesquisador de segurança Lukáš Štefanko.

"Ele rouba contatos, arquivos, registros de chamadas e mensagens de SMS, mas algumas de suas implementações podem até extrair mensagens do WhatsApp e Signal, gravar chamadas telefônicas e tirar fotos com a câmera."

Estima-se que até 148 dispositivos no Paquistão e na Índia tenham sido comprometidos ao livre.

Os aplicativos maliciosos distribuídos através do Google Play e outros lugares se disfarçavam principalmente como aplicativos de mensagens, com os mais recentes propagados recentemente em setembro de 2023.

Privee Talk (com.priv.talk)
MeetMe (com.meeete.org)
Let's Chat (com.letsm.chat)
Quick Chat (com.qqc.chat)
Rafaqat رفاق (com.rafaqat.news)
Chit Chat (com.chit.chat)
YohooTalk (com.yoho.talk)
TikTalk (com.tik.talk)
Hello Chat (com.hello.chat)
Nidus (com.nidus.no or com.nionio.org)
GlowChat (com.glow.glow)
Wave Chat (com.wave.chat)

Rafaqat ناتقار é notável pelo fato de ser o único aplicativo não de mensagens e foi anunciado como uma maneira de acessar as últimas notícias.

Foi enviado para o Google Play em 26 de outubro de 2022 por um desenvolvedor chamado Mohammad Rizwan e acumulou um total de 1.000 downloads antes de ser retirado pelo Google.

O vetor exato de distribuição para o malware não está claro no momento, embora a natureza dos aplicativos sugira que os alvos foram enganados para baixá-los como parte de um golpe romântico de armadilha de mel, onde os perpetradores os convencem a instalar esses aplicativos falsos sob o pretexto de ter uma conversa mais segura.

Esta não é a primeira vez que o Patchwork - um ator de ameaças suspeito de ter vínculos com a Índia - usa essa técnica.

Em março de 2023, o Meta revelou que a equipe de hackers criou personas fictícias no Facebook e Instagram para compartilhar links para aplicativos fraudulentos para atingir vítimas no Paquistão, Índia, Bangladesh, Sri Lanka, Tibete e China.

Também não é a primeira vez que os invasores são observados implantando o VajraRAT, que foi documentado pela empresa chinesa de segurança de informação QiAnXin no início de 2022 por ter sido usado em uma campanha direcionada a entidades governamentais e militares paquistanesas.

Vajra recebe seu nome da palavra sânscrita para raio.

Qihoo 360, em sua própria análise do malware em novembro de 2023, vinculou-o a um ator de ameaça que ela rastreia sob o apelido de Demônio de Fogo Serpente (também conhecido como APT-C-52).

Fora do Paquistão e da Índia, também é provável que entidades governamentais nepalesas tenham sido alvos de uma campanha de phishing que fornece um backdoor baseado em Nim.

Ele foi atribuído ao grupo SideWinder, outro grupo que foi sinalizado como operando com interesses indianos em mente.

Essa descoberta ocorre depois que atores de ameaças motivados financeiramente do Paquistão e da Índia foram encontrados visando usuários Android indianos com um aplicativo de empréstimo falso (Moneyfine ou "com.moneyfine.fine") como parte de um golpe de extorsão que manipula a selfie enviada como parte de um processo de verificação de identidade (KYC) para criar uma imagem nua e ameaça as vítimas de fazer um pagamento ou correr o risco de ter as fotos adulteradas distribuídas aos seus contatos.

"Esses atores de ameaças desconhecidos, motivados financeiramente, fazem promessas tentadoras de empréstimos rápidos com formalidades mínimas, entregam malware para comprometer seus dispositivos e usam ameaças para extorquir dinheiro", afirmou a Cyfirma em uma análise no final do mês passado.

Isso também ocorre em meio a uma tendência mais ampla de pessoas caindo presas a aplicativos de empréstimos predatórios, que são conhecidos por coletar informações sensíveis de dispositivos infectados e empregar chantagem e táticas de assédio para pressionar as vítimas a fazer os pagamentos.

De acordo com um relatório recente publicado pelo Instituto de Pesquisa em Contágio de Redes (NCRI), adolescentes da Austrália, Canadá e EUA estão cada vez mais sendo alvo de ataques de sextorção financeira conduzidos por um grupo de cibercriminosos com base na Nigéria conhecido como Yahoo Boys.

"Quase toda essa atividade está ligada a cibercriminosos da África Ocidental conhecidos como os Yahoo Boys, que estão principalmente visando menores e adultos jovens de língua inglesa no Instagram, Snapchat e Wizz", disse o NCRI.

O Wizz, que desde então teve seus aplicativos Android e iOS retirados da Apple App Store e da Google Play Store, contestou o relatório do NCRI, afirmando não estar "ciente de qualquer tentativa bem-sucedida de extorsão que ocorreu durante a comunicação no aplicativo Wizz".

Achou este artigo interessante? Sigam-nos no Twitter e no LinkedIn para ler mais conteúdos exclusivos que postamos.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...