ESET 研究人員識別出 12 個共享相同惡意代碼的 Android 間諜應用程式,其中 6 個可以在 Google Play 上下載。所有觀察到的應用程式都被宣傳為通訊工具,只有一個被偽裝成新聞應用程式。這些應用程式在背景中,秘密執行一個名為 VajraSpy 的遙距存取特洛伊木馬(RAT)代碼,該代碼由 Patchwork APT 組織用於有針對性的間諜活動。此次攻擊目前主要針對巴基斯坦的使用者。根據 ESET 的調查,黑客可能使用了一種誘騙戀愛詐騙手法,誘使受害者安裝惡意軟件。
VajraSpy 擁有一系列的間諜功能,可以根據應用程式的權限擴展其功能。它可以竊取聯絡人、檔案、通話記錄和短訊,甚至可以提取 WhatsApp 和 Signal 的訊息,錄製電話通話,以及使用相機拍照。
根據現有數據,這些惡意應用程式曾經在 Google Play 上被下載了超過 1,400 次。在 ESET 的調查中,因為其中一個應用程式的安全性問題,導致一些受害者數據的曝光,這使得研究人員能夠追蹤到巴基斯坦和印度的 148 個被入侵裝置的地理位置。ESET 是 App Defense 聯盟的成員,也是惡意軟件防治計劃中的一個積極合作夥伴,該計劃旨在在這些軟件進入 Google Play 之前,迅速發現可能有害的應用程式並停止它們。作為 Google App Defense 聯盟的合作夥伴,ESET 識別出這些惡意應用程式並向 Google 報告,它們已經從商店中下架。然而,這些應用程式仍然在其他應用程式商店上可用。
去年,ESET 檢測到一個被特洛伊化的新聞應用程式 Rafaqat 被用於竊取使用者信息。進一步的研究揭示了幾個擁有相同惡意代碼的應用程式。ESET 總共分析了 12 個被特洛伊化的應用程式,其中 6 個(包括 Rafaqat)在 Google Play 上可用,另外 6 個在野外發現(在 VirusTotal 數據庫中)。這些應用程式有各種不同的名稱,如 Privee Talk、MeetMe、Let’s Chat、Quick Chat、Rafaqat、Chit Chat、YohooTalk、TikTalk、Hello Chat、Nidus、GlowChat 和 Wave Chat。
為了誘使受害者,黑客可能使用有針對性的誘騙戀愛詐騙手法,最初在其他平台上與受害者聯繫,然後說服他們轉換到特洛伊化的聊天應用程式。ESET 研究人員 Lukáš Štefanko 建議:「網絡犯罪分子利用社交工程作為一種強大的武器。我們強烈建議不要點擊在聊天對話中發送的任何下載應用程式的超連結。」Lukáš Štefanko 是發現這種 Android 間諜軟件的 ESET 研究人員。