Os pesquisadores da ESET informou que foram detectados mais apps Android repletos de malware no Google Play.
Um trojan de acesso remoto (RAT) para Android conhecido como VajraSpy foi encontrado em 12 aplicativos maliciosos, seis dos quais estavam disponíveis no Google Play de 1º de abril de 2021 a 10 de setembro de 2023.
Detectados mais apps Android repletos de malware no Google Play
Os aplicativos maliciosos, que agora foram removidos do Google Play, mas permanecem disponíveis em lojas de aplicativos de terceiros, estão disfarçados como aplicativos de mensagens ou notícias.
Aqueles que instalaram os aplicativos foram infectados pelo VajraSpy, permitindo que o malware roubasse dados pessoais, incluindo contatos e mensagens, e dependendo das permissões concedidas, até mesmo para gravar suas ligações.
Os pesquisadores da ESET que descobriram a campanha relatam que seus operadores são o grupo Patchwork APT, que está ativo pelo menos desde o final de 2015, visando principalmente usuários no Paquistão.
Em 2022, o ator da ameaça revelou involuntariamente detalhes da sua própria campanha quando infectou acidentalmente a sua infraestrutura com o RAT ‘Ragnatela’, uma ferramenta que utilizava na altura.
Este passo em falso forneceu ao Malwarebytes uma janela para as operações do Patchwork.
A ligação entre o VajraSpy e o cluster de atividades que a ESET identifica como Patchwork foi estabelecida pela primeira vez por QiAnXin em 2022 (atribuindo ao APT-Q-43), seguido por Meta em março de 2023, e Qihoo 360 em novembro de 2023 (atribuindo ao APT-C- 52).
Espionagem Android
O pesquisador da ESET, Lukas Stefanko, encontrou 12 aplicativos maliciosos para Android contendo o mesmo código VajraSpy RAT, seis dos quais foram carregados no Google Play, onde foram baixados cerca de 1.400 vezes.
Os aplicativos que estavam disponíveis no Google Play são:
- Rafaqat رفاقت (notícias)
- Privee Talk (messageiro)
- MeetMe (messageiro)
- Let’s Chat (messageiro)
- Quick Chat (messageiro)
- Chit Chat (messageiro)
Os aplicativos VajraSpy disponíveis fora do Google Play são aplicativos de mensagens falsos:
- Hello Chat
- YohooTalk
- TikTalk
- Nidus
- GlowChat
- Wave Chat
Lojas de aplicativos de terceiros não informam contagens de downloads, portanto, o número de pessoas que os instalaram por meio dessas plataformas é desconhecido.
A análise de telemetria da ESET indica que a maioria das vítimas está localizada no Paquistão e na Índia e provavelmente são enganadas para instalar aplicativos de mensagens falsos por meio de um golpe romântico.
VajraSpy é um spyware e RAT que oferece suporte a várias funcionalidades de espionagem que giram principalmente em torno de roubo de dados. Suas capacidades são resumidas da seguinte forma:
- Colete e transmita dados pessoais do dispositivo infectado, incluindo contatos, registros de chamadas e mensagens SMS.
- Intercepte e extraia mensagens de aplicativos populares de comunicação criptografada, como WhatsApp e Signal.
- Grave chamadas telefônicas para permitir a escuta de conversas privadas.
- Ative a câmera do aparelho para tirar fotos, transformando-o em uma ferramenta de vigilância.
- Intercepte notificações de vários aplicativos em tempo real.
- Pesquise e exfiltre documentos, imagens, áudio e outros tipos de arquivos.
O poder do VajraSpy reside na sua natureza modular e adaptabilidade, enquanto a extensão das suas capacidades de espionagem é determinada pelo nível de permissões que obtém num dispositivo infectado.
A ESET conclui aconselhando que os usuários evitem baixar aplicativos de bate-papo obscuros recomendados por pessoas que eles não conhecem, pois essa é uma tática comum e antiga que os cibercriminosos usam para se infiltrar em dispositivos.
Embora o Google Play introduza novas políticas que dificultam a ocultação de malware em aplicativos, os agentes de ameaças continuam a inserir seus aplicativos maliciosos na plataforma.
Os ataques anteriores tiveram um desempenho muito melhor do que esta campanha de spyware VajraSpy, como uma campanha de adware de outubro que acumulou 2 milhões de instalações.
Mais recentemente, foi descoberto que o malware de roubo de informações SpyLoan foi baixado 12 milhões de vezes do Google Play em 2023.