Злоумышленник, известный как Patchwork, вероятно, использовал приманки romance scam, чтобы заманивать жертв в ловушку в Пакистане и Индии и заражать их устройства Android трояном удаленного доступа под названием VajraSpy.
Словацкая компания ESET по кибербезопасности заявила, что обнаружила 12 шпионских приложений, шесть из которых были доступны для скачивания из официального магазина Google Play и в совокупности были загружены более 1400 раз в период с апреля 2021 по март 2023 года.
"VajraSpy обладает рядом шпионских функций, которые могут быть расширены на основе разрешений, предоставляемых приложению в комплекте с его кодом", - сказал исследователь безопасности Лукаш Штефанко. "Он крадет контакты, файлы, журналы вызовов и SMS-сообщения, но некоторые из его реализаций могут даже извлекать сообщения WhatsApp и Signal, записывать телефонные звонки и делать снимки с помощью камеры".
По оценкам, 148 устройств в Пакистане и Индии были скомпрометированы в дикой природе. Вредоносные приложения, распространяемые через Google Play и другие сайты, в основном маскировались под приложения для обмена сообщениями, причем последние из них были распространены совсем недавно, в сентябре 2023 года.
- Privee Talk (com.priv.talk)
- MeetMe (com.meeete.org)
- Давайте поболтаем (com.letsm.chat)
- Быстрый чат (com.qqc.chat)
- Рафакат (com.rafaqat.news)
- Чат-переписка (com.chit.chat)
- YohooTalk (com.yoho.talk)
- TikTalk (com.tik.talk)
- Приветственный чат (com.hello.chat)
- Nidus ( <url>.nidus.нет или com.nionio.org)
- GlowChat (com.glow.glow)
- Wave Chat (com.wave.chat)
Rafaqat - это единственное приложение без обмена сообщениями, которое рекламировалось как способ доступа к последним новостям. Он был загружен в Google Play 26 октября 2022 года разработчиком по имени Мохаммад Ризван и собрал в общей сложности 1000 загрузок, прежде чем был удален Google.
Точный вектор распространения вредоносного ПО в настоящее время не ясен, хотя характер приложений предполагает, что цели были обманом загружены в рамках романтической аферы "медовая ловушка", когда злоумышленники убеждают их установить эти поддельные приложения под предлогом более безопасного общения.
Это не первый случай, когда Пэчворк – исполнитель угроз, подозреваемый в связях с Индией, – использует этот метод. В марте 2023 года Meta раскрыла, что хакерская группа создала вымышленных персонажей в Facebook и Instagram, чтобы делиться ссылками на мошеннические приложения, нацеленные на жертв в Пакистане, Индии, Бангладеш, Шри-Ланке, Тибете и Китае.
Также не в первый раз было замечено, что злоумышленники используют VajraRAT, который ранее был задокументирован китайской компанией по кибербезопасности QiAnXin в начале 2022 года как использовавшийся в кампании, направленной против правительства Пакистана и военных структур. Vajra получила свое название от санскритского слова, обозначающего молнию.
Qihoo 360 в своем собственном анализе вредоносного ПО в ноябре 2023 года связала его с субъектом угрозы, которого она отслеживает под псевдонимом Fire Demon Snake (он же APT-C-52).
За пределами Пакистана и Индии государственные структуры Непала, вероятно, также были нацелены на фишинговую кампанию, которая использует бэкдор на основе Nim. Это было приписано SideWinder group, еще одной организации, которая была отмечена как действующая в интересах Индии.
Разработка происходит после того, как было обнаружено, что финансово мотивированные злоумышленники из Пакистана и Индии нацелились на индийских пользователей Android с помощью поддельного приложения для получения кредита (Moneyfine или "com.moneyfine.fine") в рамках аферы с вымогательством, которая манипулирует селфи, загруженными в рамках процесса "знай своего клиента" (KYC), для создания изображения обнаженной натуры и угрожает жертвам произвести платеж или рисковать распространением подделанных фотографий среди их контактов.
"Эти неизвестные, финансово мотивированные злоумышленники дают заманчивые обещания быстрых кредитов с минимальными формальностями, распространяют вредоносное ПО, компрометирующее их устройства, и используют угрозы для вымогательства денег", - сказала Cyfirma в анализе в конце прошлого месяца.
Это также происходит на фоне более широкой тенденции, когда люди становятся жертвами мошеннических кредитных приложений, которые, как известно, собирают конфиденциальную информацию с зараженных устройств и используют тактику шантажа и преследования, чтобы заставить жертв произвести платежи.
Согласно недавнему отчету, опубликованному Исследовательским институтом сетевого заражения (NCRI), подростки из Австралии, Канады и США все чаще становятся жертвами финансовых атак с целью сексторции, проводимых нигерийской группой киберпреступников, известной как Yahoo Boys.
"Почти вся эта деятельность связана с западноафриканскими киберпреступниками, известными как Yahoo Boys, которые в первую очередь нацелены на англоговорящих несовершеннолетних и молодых людей Instagram, Snapchat и Wizz", - сказал NCRI.
Компания Wizz, чьи приложения для Android и iOS с тех пор были удалены из Apple App Store и Google Play Store, опровергла отчет NCRI, заявив, что ей "неизвестно о каких-либо успешных попытках вымогательства, которые имели место при общении в приложении Wizz".
