VajraSpy olarak bilinen bir Android uzaktan erişim truva atı (RAT), 12 kötü amaçlı uygulamada bulundu; bunlardan altısı 1 Nisan 2021’den 10 Eylül 2023’e kadar Google Play’de mevcuttu.
Artık Google Play’den kaldırılan ancak üçüncü taraf uygulama mağazalarında mevcut olan kötü amaçlı uygulamalar, mesajlaşma veya haber uygulamaları olarak gizleniyor.
Uygulamaları yükleyenlere VajraSpy bulaştı ve kötü amaçlı yazılımın kişiler ve mesajlar da dahil olmak üzere kişisel verileri çalmasına ve verilen izinlere bağlı olarak telefon görüşmelerini kaydetmesine bile izin verildi.
Kampanyayı ortaya çıkaran ESET araştırmacıları, operatörlerinin en azından 2015’in sonlarından beri aktif olan ve öncelikli olarak Pakistan’daki kullanıcıları hedefleyen Patchwork APT grubu olduğunu bildirdi.
2022’de tehdit aktörü, o sırada kullandıkları bir araç olan ‘Ragnatela’ RAT’ı yanlışlıkla altyapılarına bulaştırdığında, kendi kampanyasının ayrıntılarını istemeden açığa çıkardı. Bu yanlış adım, Malwarebytes’e Patchwork’ün işlemlerine yönelik bir pencere sağladı.
VajraSpy ile ESET’in Patchwork olarak tanımladığı etkinlik kümesi arasındaki bağlantı ilk olarak 2022’de QiAnXin tarafından (APT-Q-43’e atfedilerek), ardından Mart 2023’te Meta ve Kasım 2023’te Qihoo 360 (APT-C-‘ye atfedilerek) kuruldu. 52).
Android casusluğu
ESET araştırmacısı Lukas Stefanko, aynı VajraSpy RAT kodunu içeren 12 kötü amaçlı Android uygulaması buldu; bunlardan altısı Google Play’e yüklendi ve yaklaşık 1.400 kez indirildi.
Google Play’de bulunan uygulamalar şunlardır:
- Refakat Refakat (haber)
- Privee Talk (mesajlaşma)
- MeetMe (mesajlaşma)
- Hadi Sohbet Edelim (mesajlaşma)
- Hızlı Sohbet (mesajlaşma)
- Chit Chat (mesajlaşma)
Google Play dışında mevcut olan VajraSpy uygulamalarının tümü sahte mesajlaşma uygulamalarıdır:
- Merhaba Sohbet
- YohooTalk
- TikTalk
- Yuva
- GlowChat
- Dalga Sohbeti
Üçüncü taraf uygulama mağazaları indirme sayılarını bildirmediğinden bu platformlar aracılığıyla uygulamaları yükleyen kişilerin sayısı bilinmiyor.
ESET’in telemetri analizi, kurbanların çoğunun Pakistan ve Hindistan’da bulunduğunu ve büyük ihtimalle aşk dolandırıcılığı yoluyla sahte mesajlaşma uygulamalarını yüklemeye kandırıldıklarını gösteriyor.
VajraSpy, çoğunlukla veri hırsızlığı etrafında dönen çeşitli casusluk işlevlerini destekleyen bir casus yazılım ve RAT’tır. Yetenekleri şu şekilde özetlenebilir:
- Kişiler, arama kayıtları ve SMS mesajları da dahil olmak üzere virüs bulaşmış cihazdan kişisel verileri toplayın ve iletin.
- WhatsApp ve Signal gibi popüler şifreli iletişim uygulamalarından gelen mesajları yakalayın ve çıkarın.
- Özel konuşmaların dinlenmesini sağlamak için telefon görüşmelerini kaydedin.
- Fotoğraf çekmek için cihazın kamerasını etkinleştirin ve onu bir gözetim aracına dönüştürün.
- Çeşitli uygulamalardan gelen bildirimleri gerçek zamanlı olarak engelleyin.
- Belgeleri, görüntüleri, sesleri ve diğer dosya türlerini arayın ve süzün.
VajraSpy’ın gücü modüler doğasında ve uyarlanabilirliğinde yatarken casusluk yeteneklerinin kapsamı, virüs bulaşmış bir cihazda elde ettiği izinlerin düzeyine göre belirlenir.
ESET, kullanıcıların tanımadıkları kişiler tarafından önerilen gizli sohbet uygulamalarını indirmekten kaçınmaları gerektiğini tavsiye ederek sözlerini bitiriyor; çünkü bu, siber suçluların cihazlara sızmak için kullandığı yaygın ve uzun süredir kullanılan bir taktiktir.
Google Play, kötü amaçlı yazılımların uygulamalarda saklanmasını zorlaştıran yeni politikalar sunarken, tehdit aktörleri de kötü amaçlı uygulamalarını platforma gizlice sokmaya devam ediyor.
Önceki saldırılar, Ekim ayında 2 milyon yüklemeye ulaşan reklam yazılımı kampanyası gibi bu VajraSpy casus yazılım kampanyasından çok daha iyi performans gösterdi.
Daha yakın bir zamanda, SpyLoan bilgi hırsızlığı yapan kötü amaçlı yazılımın 2023 yılında Google Play’den 12 milyon kez indirildiği keşfedildi.