Patchwork olarak bilinen tehdit aktörü, muhtemelen Pakistan ve Hindistan’daki kurbanları tuzağa düşürmek için romantik dolandırıcılık tuzakları kullanmış ve onların Android cihazlarına, adlı bir uzaktan erişim truva atı bulaştırmış. VajraSpy.
Slovak siber güvenlik firması ESET, altısı resmi Google Play Store’dan indirilebilen ve Nisan 2021 ile Mart 2023 arasında toplu olarak 1.400’den fazla kez indirilen 12 casusluk uygulamasını ortaya çıkardığını söyledi.
Güvenlik araştırmacısı Lukáš Štefanko, “VajraSpy’ın, koduyla birlikte verilen uygulamaya verilen izinlere göre genişletilebilecek bir dizi casusluk işlevi var” dedi. “Kişileri, dosyaları, arama kayıtlarını ve SMS mesajlarını çalıyor, ancak bazı uygulamaları WhatsApp ve Signal mesajlarını bile çıkarabiliyor, telefon görüşmelerini kaydedebiliyor ve kamerayla fotoğraf çekebiliyor.”
Pakistan ve Hindistan’da 148 kadar cihazın ele geçirildiği tahmin ediliyor. Google Play ve başka yerlerde dağıtılan kötü amaçlı uygulamalar, esasen mesajlaşma uygulaması kılığına giriyordu; en yenileri ise Eylül 2023 gibi yakın bir tarihte yayıldı.
- Privee Konuşması (com.priv.talk)
- MeetMe (com.meeete.org)
- Haydi Sohbet Edelim (com.letsm.chat)
- Hızlı Sohbet (com.qqc.chat)
- Rafaqat beyler (com.rafaqat.news)
- Chit Sohbeti (com.chit.chat)
- YohooTalk (com.yoho.talk)
- TikTalk (com.tik.talk)
- Merhaba Sohbet (com.hello.chat)
- Nidus (com.nidus.no veya com.nionio.org)
- GlowChat (com.glow.glow)
- Dalga Sohbeti (com.wave.chat)
Rafaqat رفاق, mesajlaşmayan tek uygulama olması ve en son haberlere erişmenin bir yolu olarak tanıtılmasıyla dikkat çekiyor. Mohammad Rizwan adlı bir geliştirici tarafından 26 Ekim 2022’de Google Play’e yüklendi ve Google tarafından yayından kaldırılmadan önce toplam 1.000 indirme sayısına ulaştı.
Kötü amaçlı yazılımın tam dağıtım vektörü şu anda net değil, ancak uygulamaların doğası, hedeflerin onları bal tuzağı aşk dolandırıcılığının bir parçası olarak kandırarak indirdiklerini gösteriyor; failler onları bu sahte uygulamaları bahane altında yüklemeye ikna ediyor. daha güvenli bir konuşma yapmak.
Bu, Hindistan’la bağları olduğundan şüphelenilen bir tehdit aktörü olan Patchwork’ün bu tekniği kullandığı ilk sefer değil. Mart 2023’te Meta, bilgisayar korsanlığı ekibinin Pakistan, Hindistan, Bangladeş, Sri Lanka, Tibet ve Çin’deki kurbanları hedef alan sahte uygulamaların bağlantılarını paylaşmak için Facebook ve Instagram’da hayali kişiler oluşturduğunu ortaya çıkardı.
Ayrıca saldırganların, daha önce Çinli siber güvenlik şirketi QiAnXin tarafından 2022’nin başlarında Pakistan hükümeti ve askeri birimlerini hedef alan bir kampanyada kullanıldığı belgelenen VajraRAT’ı konuşlandırdığı ilk kez gözlemlenmiyor. Vajra, adını Sanskritçe’de yıldırım anlamına gelen kelimeden alıyor.
Qihoo 360, Kasım 2023’te kötü amaçlı yazılıma ilişkin kendi analizinde, onu Fire Demon Snake (diğer adıyla APT-C-52) adı altında takip ettiği bir tehdit aktörüne bağladı.
Pakistan ve Hindistan dışında, Nepal devlet kurumları da büyük olasılıkla Nim tabanlı bir arka kapı sağlayan bir kimlik avı kampanyasıyla hedef alındı. Bu, Hindistan’ın çıkarlarını göz önünde bulundurarak faaliyet gösterdiği belirtilen başka bir grup olan SideWinder grubuna atfediliyor.
Bu gelişme, Pakistan ve Hindistan’dan finansal motivasyona sahip tehdit aktörlerinin, sahte bir kredi uygulamasıyla (Moneyfine veya “com.moneyfine.fine”) Hintli Android kullanıcılarını hedef aldıklarının tespit edilmesiyle ortaya çıktı. Çıplak bir görüntü oluşturmaya yönelik müşterinizi tanıyın (KYC) süreci ve mağdurları ödeme yapmakla veya üzerinde oynanmış fotoğrafların kişilerine dağıtılması riskiyle tehdit etmek.
Cyfirma geçen ayın sonlarında yaptığı bir analizde, “Bu bilinmeyen, finansal motivasyona sahip tehdit aktörleri, minimum formalitelerle hızlı krediler verme konusunda cazip vaatlerde bulunuyor, cihazlarını tehlikeye atmak için kötü amaçlı yazılımlar dağıtıyor ve zorla para almak için tehditler kullanıyor.” dedi.
Bu aynı zamanda insanların, virüslü cihazlardan hassas bilgiler topladığı ve mağdurları ödeme yapmaya zorlamak için şantaj ve taciz taktikleri kullandığı bilinen yağmacı kredi uygulamalarının tuzağına düşme eğiliminin de arttığı bir dönemde ortaya çıkıyor.
Network Contagion Research Institute (NCRI) tarafından yayınlanan yakın tarihli bir rapora göre, Avustralya, Kanada ve ABD’deki gençler, Yahoo Boys olarak bilinen Nijerya merkezli siber suç grubunun gerçekleştirdiği mali şantaj saldırılarının hedefi oluyor.
NCRI, “Bu faaliyetlerin neredeyse tamamı, öncelikle Instagram, Snapchat ve Wizz’de İngilizce konuşan küçükleri ve genç yetişkinleri hedef alan, Yahoo Boys olarak bilinen Batı Afrikalı siber suçlularla bağlantılıdır” dedi.
O zamandan beri Android ve iOS uygulamalarına sahip olan Wizz aşağı çekilmiş Apple App Store ve Google Play Store’dan bir şirket, NCRI raporuna karşı çıkarak “Wizz uygulamasında iletişim kurarken meydana gelen herhangi bir başarılı gasp girişiminden haberdar olmadığını” belirtti.