ΑρχικήSecurityVajraSpy malware: Διανέμεται μέσω κακόβουλων Android apps

VajraSpy malware: Διανέμεται μέσω κακόβουλων Android apps

Ένα Android RAT malware, με το όνομα VajraSpy, βρέθηκε σε 12 κακόβουλες εφαρμογές. Έξι από αυτές ήταν διαθέσιμες στο επίσημο κατάστημα εφαρμογών Google Play από την 1η Απριλίου 2021 έως τις 10 Σεπτεμβρίου 2023.

VajraSpy malware

Οι κακόβουλες εφαρμογές έχουν καταργηθεί από το Google Play, αλλά παραμένουν διαθέσιμες σε καταστήματα εφαρμογών τρίτων και ξεγελούν τους χρήστες, αφού εμφανίζονται ως εφαρμογές ανταλλαγής μηνυμάτων ή ειδησεογραφικά apps.

Μετά την εγκατάσταση των κακόβουλων εφαρμογών, το VajraSpy malware μπορεί να κλέψει προσωπικά δεδομένα (όπως επαφές και μηνύματα) και ανάλογα με τις χορηγούμενες άδειες, μπορεί να καταγράφει τις τηλεφωνικές κλήσεις των θυμάτων.

Δείτε επίσης: Ουκρανία: Το PurpleFox malware έχει μολύνει 2000 υπολογιστές

Οι ερευνητές της ESET ήταν αυτοί που αποκάλυψαν τις εφαρμογές. Σύμφωνα με την έρευνά τους, οι χειριστές της κακόβουλης καμπάνιας είναι η ομάδα Patchwork APT, η οποία δραστηριοποιείται τουλάχιστον από τα τέλη του 2015, στοχεύοντας κυρίως χρήστες στο Πακιστάν. Το 2022, οι hackers αποκάλυψαν ακούσια λεπτομέρειες της καμπάνιας τους, καθώς μόλυναν κατά λάθος την υποδομή τους με το «Ragnatela» RAT, ένα εργαλείο που χρησιμοποιούσαν εκείνη την εποχή.

Η σύνδεση μεταξύ του VajraSpy και της Patchwork έγινε για πρώτη φορά από την QiAnXin. Στη συνέχεια ερευνητές και από άλλες εταιρείες έκαναν παρόμοιες συνδέσεις αν και η ομάδα μπορεί να προσδιορίζεται διαφορετικά από την κάθε εταιρεία.

Google Play Android apps

Το VajraSpy malware κατασκοπεύει χρήστες μέσω Android εφαρμογών

Ο ερευνητής της ESET, Lukas Stefanko, βρήκε 12 κακόβουλες εφαρμογές Android που περιείχαν τον ίδιο κώδικα VajraSpy RAT. Όπως προείπαμε, οι έξι από αυτές κατάφεραν να περάσουν και στο Google Play, και εγκαταστάθηκαν σε περίπου 1.400 συσκευές.

Οι εφαρμογές που ήταν διαθέσιμες στο Google Play είναι:

  • Rafaqat رفاقت (ειδήσεις)
  • Privee Talk (μηνύματα)
  • MeetMe (μηνύματα)
  • Let’s Chat (μηνύματα)
  • Quick Chat (μηνύματα)
  • Chit Chat (μηνύματα)

Οι εφαρμογές VajraSpy που υπάρχουν σε άλλα καταστήματα εφαρμογών είναι οι ακόλουθες:

  • Hello Chat
  • YohooTalk
  • TikTalk
  • Nidus
  • GlowChat
  • Wave Chat

Και οι έξι αυτές εφαρμογές παρουσιάζονται σαν apps ανταλλαγής μηνυμάτων.

Τα καταστήματα εφαρμογών τρίτων δεν αναφέρουν τον αριθμό των λήψεων, επομένως δεν ξέρουμε πόσοι χρήστες έχουν επηρεαστεί.

Δείτε επίσης: Το WhiteSnake Stealer Malware μεταφέρεται σε υπολογιστές με Windows

Η ανάλυση της ESET δείχνει ότι τα περισσότερα θύματα βρίσκονται στο Πακιστάν και την Ινδία και πιθανότατα εξαπατήθηκαν για να εγκαταστήσουν τις κακόβουλες εφαρμογές μέσω ενός romance scam.

VajraSpy malware

Το VajraSpy είναι ένα spyware και RAT με βασικούς στόχους την κατασκοπεία και την κλοπή δεδομένων. Οι δυνατότητές του είναι οι εξής:

  • Συλλογή προσωπικών δεδομένων από τη μολυσμένη συσκευή, συμπεριλαμβανομένων επαφών, αρχείων καταγραφής κλήσεων και μηνυμάτων SMS.
  • Υποκλοπή και εξαγωγή μηνυμάτων από δημοφιλείς εφαρμογές όπως το WhatsApp και το Signal.
  • Ηχογράφηση κλήσεων για υποκλοπή προσωπικών συνομιλιών.
  • Ενεργοποίηση της κάμερας της συσκευής για λήψη φωτογραφιών.
  • Υποκλοπή ειδοποιήσεων από διάφορες εφαρμογές σε πραγματικό χρόνο.
  • Αναζήτηση και εξαγωγή εγγράφων, εικόνων, ήχου και άλλων τύπων αρχείων.

Το πόσα από αυτά μπορεί να κάνει το malware, καθορίζεται από το επίπεδο των αδειών που αποκτά σε μια μολυσμένη συσκευή.

Η ESET καλεί τους χρήστες να αποφεύγουν τη λήψη περίεργων εφαρμογών συνομιλίας που προτείνονται από άτομα που δεν γνωρίζουν καλά, καθώς αυτή είναι μια συχνή μέθοδος που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου για να διεισδύσουν σε συσκευές, όπως στην περίπτωση του VajraSpy.

Επομένως, αποφύγετε το κατέβασμα εφαρμογών από μη αξιόπιστες πηγές. Προτιμήστε να κατεβάζετε εφαρμογές μόνο από το επίσημο κατάστημα της πλατφόρμας σας, όπως το Google Play Store για το Android ή το App Store για το iOS. Αυτό θα μειώσει τον κίνδυνο εγκατάστασης κακόβουλων εφαρμογών. Βέβαια, ενώ το Google Play εισάγει νέες πολιτικές που δυσκολεύουν την απόκρυψη του κακόβουλου λογισμικού στις εφαρμογές, πάντα υπάρχει ο κίνδυνος να εισχωρήσει ένα κακόβουλο app. Αυτό έγινε και σε αυτή την περίπτωση.

Δείτε επίσης: Το LODEINFO backdoor malware αποκτά νέες δυνατότητες

Γι’ αυτό, είναι σημαντικό να ελέγχετε τις άδειες που ζητούν οι εφαρμογές πριν τις εγκαταστήσετε. Μια κακόβουλη εφαρμογή μπορεί να ζητήσει περιττές ή υπερβολικές άδειες που θα παραβιάσουν την ιδιωτικότητά σας ή θα εκθέσουν τη συσκευή σας σε κινδύνους. Επίσης, διαβάστε κριτικές άλλων χρηστών πριν κατεβάσετε μια εφαρμογή. Μπορεί να λάβετε χρήσιμες πληροφορίες και να καταλάβετε αν πρόκειται για απάτη ή όχι.

Ένα άλλο σημαντικό μέτρο ασφαλείας για την προστασία από κακόβουλες εφαρμογές είναι η εγκατάσταση ενός αξιόπιστου antivirus προγράμματος στη συσκευή σας. Ένα καλό πρόγραμμα θα σας προστατεύει από κακόβουλο λογισμικό και θα σας προειδοποιεί για επικίνδυνες εφαρμογές πριν τις εγκαταστήσετε.

Τέλος, είναι σημαντικό να ενημερώνετε τακτικά τη συσκευή σας και τις εφαρμογές σας. Οι ενημερώσεις περιέχουν συχνά διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τη συσκευή σας από γνωστά κενά ασφαλείας. Αναβαθμίζοντας το λογισμικό σας, μειώνετε τον κίνδυνο εκθέσεως σε κακόβουλες εφαρμογές.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS