导语:VajraSpy 是一种间谍软件和 RAT,支持各种与数据盗窃有关的间谍功能。
有安全研究人员在 12 个恶意应用程序中发现了一种名为 VajraSpy 的 Android 远程访问木马 (RAT),其中 6 个应用程序于 2021 年 4 月 1 日至 2023 年 9 月 10 日期间在 Google Play 上提供。这些恶意应用程序现已从 Google Play 中删除,但仍可在第三方应用程序商店中找到,它们被伪装成消息或新闻应用程序。
安装这些应用程序的用户感染了 VajraSpy,允许恶意软件窃取个人数据,并根据授予的权限,记录了他们的通话记录。
发现该活动的研究人员报告称,其运营商是 Patchwork APT 组织,该组织从 2015 年底以来一直活跃,主要针对巴基斯坦用户。
2022 年,威胁分子无意中泄露了他们的活动细节,当时他们不小心用“Ragnatela”RAT(他们当时使用的工具)感染了自己的基础设施。这一失误为 Malwarebytes 提供了了解 Patchwork 操作的窗口。
安卓间谍活动
ESET 研究人员发现了 12 个恶意 Android 应用程序,其中包含相同的 VajraSpy RAT 代码,其中 6 个应用程序上传到 Google Play,下载量约为 1400 次。第三方应用商店不报告下载量,因此通过这些平台安装它们的人数未知。
ESET 的遥测分析表明,大多数受害者位于巴基斯坦和印度,并且很可能是通过社交骗局被诱骗安装虚假消息应用程序。
12 个假冒应用程序中的两个
VajraSpy 作为一种间谍软件和 RAT,支持各种主要与数据盗窃有关的间谍功能。其功能总结如下:
·从受感染的设备收集并传输个人数据,包括联系人、通话记录和短信。
·从 WhatsApp 和 Signal 等流行的加密通信应用程序中拦截和提取消息。
·记录电话通话以窃听私人谈话。
·激活设备的摄像头拍照,将其变成监控工具。
·实时拦截来自各种应用程序的通知。
·搜索和泄露文档、图像、音频和其他类型的文件。
VajraSpy 从 WhatsApp记录数据
VajraSpy 的强大之处在于其模块化特性和适应性,而其间谍能力的程度则取决于它在受感染设备上获得的权限级别。
ESET 建议用户不要下载陌生人推荐的聊天应用程序,因为这是网络犯罪分子渗透设备的常见策略。
尽管 Google Play 推出了新政策,使恶意软件更难隐藏在应用程序中,但威胁分子仍继续将其恶意应用程序设置于该平台上。人们发现 SpyLoan 信息窃取恶意软件在 2023 年从 Google Play 下载了 1200 万次。
文章翻译自:https://www.bleepingcomputer.com/news/security/more-android-apps-riddled-with-malware-spotted-on-google-play/如若转载,请注明原文地址