有安全研究人員在 12 個惡意應用程序中發現了一種名爲 VajraSpy 的 Android 遠程訪問木馬 ( RAT ) ,其中 6 個應用程序于 2021 年 4 月 1 日至 2023 年 9 月 10 日期間在 Google Play 上提供。這些惡意應用程序現已從 Google Play 中删除,但仍可在第三方應用程序商店中找到,它們被僞裝成消息或新聞應用程序。
安裝這些應用程序的用戶感染了 VajraSpy,允許惡意軟件竊取個人數據,并根據授予的權限,記錄了他們的通話記錄。
發現該活動的研究人員報告稱,其運營商是 Patchwork APT 組織,該組織從 2015 年底以來一直活躍,主要針對巴基斯坦用戶。
2022 年,威脅分子無意中洩露了他們的活動細節,當時他們不小心用 "Ragnatela"RAT(他們當時使用的工具)感染了自己的基礎設施。這一失誤爲 Malwarebytes 提供了了解 Patchwork 操作的窗口。
安卓間諜活動
ESET 研究人員發現了 12 個惡意 Android 應用程序,其中包含相同的 VajraSpy RAT 代碼,其中 6 個應用程序上傳到 Google Play,下載量約爲 1400 次。第三方應用商店不報告下載量,因此通過這些平台安裝它們的人數未知。
ESET 的遙測分析表明,大多數受害者位于巴基斯坦和印度,并且很可能是通過社交騙局被誘騙安裝虛假消息應用程序。
12 個假冒應用程序中的兩個
VajraSpy 作爲一種間諜軟件和 RAT,支持各種主要與數據盜竊有關的間諜功能。其功能總結如下:
·從受感染的設備收集并傳輸個人數據,包括聯系人、通話記錄和短信。
·從 WhatsApp 和 Signal 等流行的加密通信應用程序中攔截和提取消息。
·記錄電話通話以竊聽私人談話。
·激活設備的攝像頭拍照,将其變成監控工具。
·實時攔截來自各種應用程序的通知。
·搜索和洩露文檔、圖像、音頻和其他類型的文件。
VajraSpy 從 WhatsApp 記錄數據
VajraSpy 的強大之處在于其模塊化特性和适應性,而其間諜能力的程度則取決于它在受感染設備上獲得的權限級别。
ESET 建議用戶不要下載陌生人推薦的聊天應用程序,因爲這是網絡犯罪分子滲透設備的常見策略。
盡管 Google Play 推出了新政策,使惡意軟件更難隐藏在應用程序中,但威脅分子仍繼續将其惡意應用程序設置于該平台上。人們發現 SpyLoan 信息竊取惡意軟件在 2023 年從 Google Play 下載了 1200 萬次。
