В Google Play обнаружено еще больше приложений для Android, зараженных вредоносным ПО

Троян удаленного доступа (RAT) для Android, известный как VajraSpy, был обнаружен в 12 вредоносных приложениях, шесть из которых были доступны в Google Play с 1 апреля 2021 года по 10 сентября 2023 года.

Вредоносные приложения, которые уже удалены из Google Play, но по-прежнему доступны в сторонних магазинах приложений, были замаскированы под приложения для обмена сообщениями и новостями.

Те, кто устанавливал эти приложения, заражались VajraSpy, что позволяло вредоносной программе похищать личные данные, включая контакты и сообщения, и, в зависимости от предоставленных разрешений, даже записывать телефонные разговоры.

Исследователи ESET, обнаружившие кампанию, сообщают, что ее операторами является APT-группа Patchwork, которая действует по меньшей мере с конца 2015 года, в основном нацеливаясь на пользователей в Пакистане.

В 2022 году эта группа непреднамеренно раскрыла детали своей собственной кампании, когда случайно заразила свою инфраструктуру RAT 'Ragnatela' - инструментом, который она использовала в то время. Эта оплошность позволила Malwarebytes получить информацию о деятельности Patchwork.

Связь между VajraSpy и кластером активности, который ESET идентифицирует как Patchwork, впервые была установлена компанией QiAnXin в 2022 году (атрибуция APT-Q-43), затем Meta в марте 2023 года и Qihoo 360 в ноябре 2023 года (атрибуция APT-C-52).

Шпионаж за Android

Исследователь ESET Лукас Стефанко обнаружил 12 вредоносных приложений для Android, содержащих один и тот же код VajraSpy RAT, шесть из которых были выложены в Google Play, где их скачали примерно 1 400 раз.

В Google Play были доступны следующие приложения:

1. Rafaqat رفاقت (новости)
2. Privee Talk (обмен сообщениями)
3. MeetMe (обмен сообщениями)
4. Let's Chat (обмен сообщениями)
5. Быстрый чат (обмен сообщениями)
6. Chit Chat (обмен сообщениями)

Все приложения VajraSpy, доступные за пределами Google Play, являются фиктивными приложениями для обмена сообщениями:

1. Hello Chat
2. YohooTalk
3. TikTalk
4. Nidus
5. GlowChat
6. Wave Chat

Сторонние магазины приложений не сообщают о количестве загрузок, поэтому число людей, установивших их через эти платформы, неизвестно.

Анализ телеметрии, проведенный ESET, показывает, что большинство жертв находятся в Пакистане и Индии и, скорее всего, были обманом вынуждены установить поддельные приложения для обмена сообщениями через романтическую аферу.

VajraSpy - это шпионская программа и RAT, поддерживающая различные функции шпионажа, которые в основном связаны с кражей данных. Его возможности сводятся к следующему:

• Сбор и передача личных данных с зараженного устройства, включая контакты, журналы вызовов и SMS-сообщения.
• Перехват и извлечение сообщений из популярных зашифрованных приложений для общения, таких как WhatsApp и Signal.
• Запись телефонных разговоров для подслушивания личных бесед.
• Активируйте камеру устройства, чтобы делать снимки, превращая его в инструмент наблюдения.
• Перехват уведомлений из различных приложений в режиме реального времени.
• Поиск и утечка документов, изображений, аудио и других типов файлов.

Сила VajraSpy заключается в его модульном характере и адаптивности, а масштабы его шпионских возможностей определяются уровнем разрешений, которые он получает на зараженном устройстве.

В заключение ESET советует пользователям воздержаться от загрузки малоизвестных приложений для общения, рекомендованных незнакомыми людьми, поскольку это распространенная и давно известная тактика проникновения киберпреступников на устройства.

Несмотря на то, что Google Play вводит новые правила, затрудняющие скрытие вредоносного ПО в приложениях, злоумышленники продолжают протаскивать свои вредоносные программы на платформу.

Предыдущие атаки были намного успешнее, чем эта шпионская кампания VajraSpy, например, октябрьская кампания рекламного ПО, собравшая 2 миллиона установок.

Совсем недавно было обнаружено, что вредоносная программа SpyLoan, похищающая информацию, была загружена из Google Play 12 миллионов раз в 2023 году.

Обновление 2/2 - Представитель Google прислал BleepingComputer следующий комментарий:

Мы серьезно относимся к претензиям приложений по поводу безопасности и конфиденциальности, и если мы обнаруживаем, что приложение нарушает наши правила, мы принимаем соответствующие меры.

Пользователи защищены сервисом Google Play Protect, который может предупредить пользователей о приложениях, известных своим вредоносным поведением на Android-устройствах с сервисами Google Play, даже если эти приложения поступают из источников за пределами Play.