Sicherheitsforscher von ESET haben eine beunruhigende Entdeckung gemacht: 12 Android-Spionage-Apps wurden identifiziert, wobei sechs davon sogar im offiziellen Google Play Store verfügbar waren. Die meisten dieser Anwendungen tarnten sich als Messenger-Apps. Im Verborgenen führten sie nach der Installation jedoch einen Remote-Access-Trojaner (RAT) namens VajraSpy aus, der von der hochentwickelten APT-Gruppe Patchwork für gezielte Spionage eingesetzt wird. Ziel dieser Kampagne waren hauptsächlich Nutzer in Pakistan, die durch vorgetäuschte Liebesbeziehungen zur Installation der Spyware gebracht wurden. Die Angriffe fanden von April 2021 bis September 2023 statt.
„Cyberkriminelle setzen Social Engineering als mächtige Waffe ein. Sobald ein Gesprächspartner Sie dazu auffordert, eine Anwendung herunterzuladen, um die Konversation fortzusetzen, sollten alle Alarmglocken schrillen. So gut wie niemand dürfte gegenüber glaubhaft formulierten romantischen Avancen immun sein, aber jeder kann wachsam bleiben und seinen gesunden Menschenverstand nutzen“, warnt ESET Forscher Lukáš Štefanko, der diese Android-Spyware entdeckt hat.
Liebessuchende tappen in Honigfalle
Die ESET Untersuchung ergab, dass die Hacker ihren Opfern eine Falle stellen, um diese zur Installation der Malware zu verleiten. Dabei handelt es sich um eine Spionagetechnik, bei der ein Opfer durch eine vorgegaukelte romantische Beziehung zu bestimmten Aktionen gedrängt wird. Die VajraSpy-Malware, die von der APT-Gruppe Patchwork entwickelt wurde, verfügt über eine Vielzahl von Spionagefunktionen. Sie kann Kontakte, Dateien, Anrufprotokolle und SMS-Nachrichten stehlen, wobei einige Varianten sogar in der Lage sind, auf WhatsApp- und Signal-Nachrichten zuzugreifen, Telefongespräche aufzuzeichnen und Bilder mit der Kamera aufzunehmen.
Besorgniserregend ist, dass die bösartigen Apps, die im Google Play Store verfügbar waren, mehr als 1.400 Mal heruntergeladen wurden. Während der ESET Untersuchung führten Sicherheitslücken in einer der Apps dazu, dass einige Opferdaten offengelegt wurden. Dadurch konnten die Forscher 148 kompromittierte Geräte in Pakistan und Indien lokalisieren, die höchstwahrscheinlich die Hauptziele der Angriffe waren.
Wer steckt hinter den Angriffen?
Die APT-Gruppe Patchwork, die VajraSpy einsetzt, konnte laut der MITRE ATT&CK-Datenbank keinem eindeutigen Land zugeordnet werden. Indizien deuten jedoch darauf hin, dass es sich um eine pro-indische oder indische Organisation handeln könnte, die hauptsächlich auf diplomatische und staatliche Einrichtungen abzielt.
Verseuchte Apps sind immer noch verfügbar
ESET, als aktives Mitglied der App Defense Alliance und Partner des Programms zur Malware-Minderung, hat die bösartigen Apps identifiziert und umgehend an Google gemeldet. Obwohl die Apps nicht mehr im offiziellen Play Store verfügbar sind, warnen die Experten davor, dass sie weiterhin in alternativen App-Stores erhältlich sind.
Im vergangenen Jahr entdeckte ESET bereits eine trojanisierte Nachrichten-App namens Rafaqat, die zum Diebstahl von Benutzerdaten verwendet wurde. Weitere Untersuchungen enthüllten weitere Apps mit dem gleichen Schadcode. Insgesamt wurden 12 trojanisierte Apps analysiert, von denen sechs auf Google Play verfügbar waren. Diese trugen verschiedene Namen wie Privee Talk, MeetMe, Let's Chat, Quick Chat, Rafaqat und Chit Chat.
Weitere technische Informationen über VajraSpy und die Spionage-Apps der Patchwork APT-Gruppe finden Sie im Blogbeitrag „VajraSpy: Ein Patchwork-Sammelsurium voller Spionage-Apps“ auf WeLiveSecurity.com.