Patchwork met behulp van romantische zwendelkunst om Android-apparaten te infecteren met VajraSpy-malware

Cyberbeveiliging
VajraSpy Malware

De bedreigingsacteur die bekend staat als Patchwork heeft waarschijnlijk gebruik gemaakt van kunstaas om slachtoffers in Pakistan en India in de val te lokken en hun Android-apparaten te infecteren met een trojan voor externe toegang genaamd VajraSpy.

Het Slowaakse cyberbeveiligingsbedrijf ESET zei dat het twaalf spionage-apps heeft ontdekt, waarvan er zes beschikbaar waren om te downloaden via de officiële Google Play Store en tussen april 2021 en maart 2023 gezamenlijk meer dan 1.400 keer werden gedownload.

“VajraSpy heeft een reeks spionagefunctionaliteiten die kunnen worden uitgebreid op basis van de machtigingen die zijn verleend aan de app, gebundeld met de bijbehorende code”, aldus beveiligingsonderzoeker Lukáš Štefanko. “Het steelt contacten, bestanden, oproeplogboeken en sms-berichten, maar sommige implementaties kunnen zelfs WhatsApp- en Signal-berichten extraheren, telefoongesprekken opnemen en foto’s maken met de camera.”

Er wordt geschat dat maar liefst 148 apparaten in Pakistan en India in het wild zijn aangetast. De kwaadaardige apps die via Google Play en elders worden verspreid, vermomden zich voornamelijk als berichtenapplicaties, waarbij de meest recente pas in september 2023 werden verspreid.

  • Privégesprek (com.priv.talk)
  • MeetMe (com.meeete.org)
  • Laten we chatten (com.letsm.chat)
  • Snelle chat (com.qqc.chat)
  • Rafaqat رفاق (com.rafaqat.news)
  • Chitchat (com.chit.chat)
  • YohooTalk (com.yoho.talk)
  • TikTalk (com.tik.talk)
  • Hallo Chat (com.hello.chat)
  • Nidus (com.nidus.no of com.nionio.org)
  • GlowChat (com.glow.glow)
  • Wave Chat (com.wave.chat)

Rafaqat رفاق valt op door het feit dat het de enige app is die geen berichten stuurt en werd geadverteerd als een manier om toegang te krijgen tot het laatste nieuws. Het werd op 26 oktober 2022 geüpload naar Google Play door een ontwikkelaar genaamd Mohammad Rizwan en verzamelde in totaal 1.000 downloads voordat het door Google werd verwijderd.

De exacte verspreidingsvector van de malware is momenteel niet duidelijk, hoewel de aard van de apps erop wijst dat de doelwitten werden misleid om ze te downloaden als onderdeel van een romantische oplichterij, waarbij de daders hen ervan overtuigen deze nep-apps te installeren onder het voorwendsel om een ​​veiliger gesprek te voeren.

Dit is niet de eerste keer dat Patchwork – een bedreigingsacteur met vermoedelijke banden met India – deze techniek gebruikt. In maart 2023 onthulde Meta dat de hackploeg fictieve persona’s op Facebook en Instagram had gecreëerd om links naar frauduleuze apps te delen om slachtoffers in Pakistan, India, Bangladesh, Sri Lanka, Tibet en China te targeten.

Het is ook niet de eerste keer dat de aanvallers VajraRAT inzetten, waarvan eerder begin 2022 door het Chinese cyberbeveiligingsbedrijf QiAnXin werd gedocumenteerd dat het werd gebruikt in een campagne gericht op de Pakistaanse regering en militaire entiteiten. Vajra dankt zijn naam aan het Sanskrietwoord voor bliksemschicht.

VajraSpy-malware

Qihoo 360 koppelde deze in zijn eigen analyse van de malware in november 2023 aan een dreigingsactor die hij volgt onder de naam Fire Demon Snake (ook bekend als APT-C-52).

Buiten Pakistan en India zijn Nepalese overheidsinstanties waarschijnlijk ook het doelwit geweest via een phishing-campagne die een op Nim gebaseerde achterdeur oplevert. Het wordt toegeschreven aan de SideWinder-groep, een andere groep die wordt aangemerkt als opererend met Indiase belangen in gedachten.

De ontwikkeling komt nadat financieel gemotiveerde dreigingsactoren uit Pakistan en India zijn aangetroffen die zich richten op Indiase Android-gebruikers met een nepleningsapp (Moneyfine of “com.moneyfine.fine”) als onderdeel van een afpersingszwendel die de selfie manipuleert die is geüpload als onderdeel van een kent uw klant (KYC)-proces om een ​​naaktfoto te maken en dreigt de slachtoffers een betaling te doen, anders riskeren ze dat de vervalste foto’s onder hun contacten worden verspreid.

“Deze onbekende, financieel gemotiveerde bedreigingsactoren doen verleidelijke beloften van snelle leningen met minimale formaliteiten, leveren malware om hun apparaten in gevaar te brengen en gebruiken bedreigingen om geld af te persen”, zei Cyfirma eind vorige maand in een analyse.

Het komt ook voort uit een bredere trend waarbij mensen ten prooi vallen aan roofzuchtige lening-apps, waarvan bekend is dat ze gevoelige informatie van geïnfecteerde apparaten verzamelen, en chantage- en intimidatietactieken gebruiken om slachtoffers onder druk te zetten om de betalingen te doen.

Volgens een recent rapport gepubliceerd door het Network Contagion Research Institute (NCRI) zijn tieners uit Australië, Canada en de VS steeds vaker het doelwit van financiële afpersingsaanvallen uitgevoerd door de in Nigeria gevestigde cybercriminele groep bekend als Yahoo Boys.

“Bijna al deze activiteiten zijn gekoppeld aan West-Afrikaanse cybercriminelen, bekend als de Yahoo Boys, die zich voornamelijk richten op Engelssprekende minderjarigen en jonge volwassenen op Instagram, Snapchat en Wizz”, aldus NCRI.

Wizz, dat sindsdien zijn Android- en iOS-apps heeft naar beneden genomen van de Apple App Store en de Google Play Store, weerlegde het NCRI-rapport en stelde dat het “niet op de hoogte is van succesvolle afpersingspogingen die hebben plaatsgevonden tijdens de communicatie via de Wizz-app.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

App Launcher in de Google Assistent-rijmodus wordt in februari stopgezet

Samsung-directeur bespreekt camera-AI, zegt dat er geen echt beeld is

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]