تروجان VajraSpy در 12 برنامه مخرب شناسایی شد که 6 مورد از آنها از 1 آوریل 2021 تا 10 سپتامبر 2023 در Google Play در دسترس بودند.
به گزارش TechNock، برنامههای مخربی که اکنون از Google Play حذف شدهاند، همچنان در فروشگاههای برنامه شخص ثالث بهعنوان برنامههای پیامرسان یا خبری در دسترس هستند.
افرادی که این برنامه ها را نصب کرده اند به VajraSpy آلوده شده اند که به بدافزار اجازه می دهد تا اطلاعات شخصی از جمله مخاطبین و پیام ها را بدزدد و حتی تماس های تلفنی را بسته به مجوزهای اعطا شده ضبط کند.
بلیپ کامپیوتر محققان ESET که هک را کشف کردند، گزارش دادند که اپراتورها گروه Patchwork APT هستند که حداقل از اواخر سال 2015 فعال بوده و عمدتاً کاربران پاکستانی را هدف قرار می دهد.
در سال 2022، این عوامل تهدید به طور تصادفی جزئیات حمله خود را فاش کردند. این زمانی بود که آنها به طور ناخواسته زیرساخت خود را با یک RAT به نام Ragnatela آلوده کردند. این باگ به Malwarebytes امکان دسترسی به فعالیتهای Patchwork را داد.
پیوند بین VajraSpy و یک خوشه فعالیت که ESET آن را به عنوان Patchwork شناسایی می کند، ابتدا در سال 2022 توسط QiAnXin (منسوب به APT-Q-43) و سپس توسط Meta در مارس 2023 و Qihoo 360 در نوامبر 2023 (منسوب به APT -C-52) ایجاد شد. منتسب) تایید شد.
جاسوس اندروید
یک محقق ESET به نام لوکاس استفانکو 12 بدافزار اندرویدی حاوی همان کد VajraSpy RAT را کشف کرد. از این تعداد، 6 اپلیکیشن در گوگل پلی آپلود و تقریبا 1400 بار دانلود شده است. برنامه هایی که در گوگل پلی موجود بودند عبارتند از:
- رفاقت (اخبار)
- گفتگوی خصوصی (مسنجر)
- MeetMe (پیام رسان)
- بیا حرف بزنیم
- چت سریع
- چیت چت
برنامههای VajraSpy موجود خارج از Google Play همگی برنامههای پیامرسان جعلی هستند. شامل:
- سلام چت
- YohooTalk
- TikTalk
- لانه
- GlowChat
- چت موجی
فروشگاههای برنامه شخص ثالث تعداد دانلودهای برنامه را گزارش نمیکنند. بنابراین تعداد کاربرانی که آنها را از طریق این پلتفرم ها نصب کرده اند مشخص نیست. تجزیه و تحلیل تله متری ESET نشان می دهد که بیشتر قربانیان در پاکستان و هند واقع شده اند و ممکن است با استفاده از کلاهبرداری های عاشقانه، برنامه های پیام رسان جعلی را نصب کنند.
VajraSpy یک نرم افزار جاسوسی و RAT است که از قابلیت های جاسوسی مختلف پشتیبانی می کند. ویژگی هایی که اغلب حول محور سرقت اطلاعات می چرخند. قابلیت های تروجان مذکور به شرح زیر است:
- جمع آوری و انتقال داده های شخصی از دستگاه آلوده، از جمله مخاطبین و گزارش تماس ها و پیام های SMS
- پیام ها را از برنامه های ارتباطی رمزگذاری شده محبوب مانند WhatsApp و Signal رهگیری و استخراج کنید
- ضبط تماس های تلفنی برای پیگیری مکالمات خصوصی
- فعال کردن دوربین دستگاه برای گرفتن عکس و تبدیل آن به یک ابزار نظارتی
- ارسال همزمان اعلان ها از برنامه های مختلف
- اسناد، تصاویر، فایل های صوتی و انواع دیگر فایل ها را جستجو و استخراج کنید
قدرت VajraSpy در ماهیت مدولار و تطبیق پذیری آن نهفته است. در حالی که میزان توانایی های جاسوسی آن با سطح مجوزهایی که در دستگاه آلوده به آن داده می شود تعیین می شود. ESET توصیه می کند که کاربران از دانلود برنامه های چت ناشناخته ای که توسط افراد ناشناس معرفی می شوند خودداری کنند. زیرا این یک تاکتیک رایج و ثابت است که توسط مجرمان سایبری برای نفوذ به دستگاه ها استفاده می شود.
اگرچه Google Play سیاستهای جدیدی را معرفی کرده است که مخفی کردن بدافزار را سختتر میکند، بازیگران تهدید همچنان بدافزار خود را به صورت مخفیانه وارد پلتفرم میکنند. نرم افزار جاسوسی SpyLoan که اطلاعات را به سرقت می برد اخیراً کشف شد که در سال 2023 بیش از 12 میلیون بار از Google Play دانلود شده است. یکی از نمایندگان گوگل در مورد این موضوع گفت:
ما ادعاها و شکایات مربوط به امنیت و حریم خصوصی برنامه را جدی میگیریم و اگر متوجه شویم برنامهای خطمشیهای ما را نقض میکند، اقدامات لازم را انجام میدهیم.
کاربران توسط Google Play Protect محافظت میشوند، که میتواند به کاربران برنامههایی که این رفتار مخرب را در دستگاههای Android با خدمات Google Play نشان میدهند، اطلاع دهد. حتی زمانی که این برنامه ها از منابع خارج از Google Play دانلود می شوند.
پست گوگل پلی مدت هاست میزبان بدافزارها بوده است اولین بار در Oneknock – اخبار دنیای فناوری ظاهر شد. ظاهر شد.
گفتگو در مورد این post