· E$SET Research heeft een nieuwe cyberspionage-campagne ontdekt die het
met veel vertrouwen heeft toegeschreven aan de Patchwork APT-groep.
· De campagne gebruikte Google Play om zes kwaadaardige apps te
verspreiden, gebundeld met VajraSpy RAT-code. Nog zes andere apps werden ‘in
the wild’ verspreid.
· De apps op Google Play zijn ruim 1.400 keer geïnstalleerd en zijn nog
steeds beschikbaar in alternatieve appstores.
· Patchwork gebruikte wellicht een ‘honey-trap’ romantiek-zwendel om de
slachtoffers aan te zetten om de malware te installeren.
BRATISLAVA, MONTREAL — 1
februari 2024 — ESET-onderzoekers
hebben twaalf Android-spionage-apps geïdentificeerd die dezelfde kwaadaardige
code delen; zes waren beschikbaar op Google Play. Alle waargenomen apps werden
geadverteerd als messaging tools, behalve één die zich voordeed als nieuws-app.
Op de achtergrond voeren deze apps heimelijk een trojan-code uit voor externe
toegang (Remote Access Trojan - RAT),
genaamd VajraSpy, die gebruikt wordt door de Patchwork APT-groep voor gerichte
spionage. Volgens het onderzoek van ESET hebben de criminelen achter de
getrojaniseerde apps wellicht een romantische zwendel gebruikt om hun
slachtoffers aan te zetten die malware te installeren.
VajraSpy heeft een reeks spionage-functionaliteiten die kunnen uitgebreid worden op basis van de machtigingen die toegekend zijn aan de app die met de code is gebundeld. Het steelt contacten, bestanden, oproeplogs en sms-berichten. Sommige installaties kunnen ook WhatsApp- en Signal-berichten stelen, telefoongesprekken opnemen en met de camera foto's maken.
Op basis van de beschikbare cijfers zijn de kwaadaardige apps die toen beschikbaar waren op Google Play ruim 1.400 keer gedownload. Tijdens het ESET-onderzoek leidde de zwakke operationele beveiliging van een van de apps ertoe dat gegevens van slachtoffers openbaar werden gemaakt, zodat onderzoekers 148 gecompromitteerde toestellen in Pakistan en India konden geo-lokaliseren. Het ging wellicht om de werkelijke doelwitten van de aanslagen. ESET is lid van de App Defense Alliance en een actieve partner in het programma voor malwarebeperking met als doel snel potentieel schadelijke apps te vinden en te stoppen voor ze op Google Play komen. Als partner van deze organisatie heeft ESET de kwaadaardige apps geïdentificeerd en aan Google gemeld. Ze zijn niet langer in de Play Store beschikbaar, maar wel nog steeds in alternatieve appstores.
Vorig jaar ontdekte ESET dat Rafaqat, een getrojaniseerde nieuws-app, gebruikt werd om gebruikersinformatie te stelen. Nader onderzoek legde nog een aantal apps met dezelfde kwaadaardige code bloot. In totaal analyseerde ESET twaalf getrojaniseerde apps waarvan zes (waaronder Rafaqat) beschikbaar waren op Google Play, en zes ‘in the wild’ waren gevonden – in de VirusTotal-database. Deze apps hadden diverse namen, zoals Privee Talk, MeetMe, Let’s Chat, Quick Chat, Rafaqat, Chit Chat, YohooTalk, TikTalk, Hello Chat, Nidus, GlowChat en Wave Chat.
Om hun slachtoffers te overhalen, gebruikten de criminelen wellicht romantiek-zwendel, waarbij ze eerst contact opnamen met de slachtoffers op een ander platform en hen vervolgens overtuigden om over te schakelen naar een getrojaniseerde chat-app. “Cybercriminelen gebruiken social engineering als een krachtig wapen. We raden u ten zeerste af om op links te klikken om een app te downloaden die wordt verzonden in een chatgesprek. Het kan moeilijk zijn om immuun te blijven voor valse romantische avances, maar het loont de moeite om altijd waakzaam te zijn”, zegt ESET-onderzoeker Lukáš Štefanko, die deze Android-spyware ontdekte. Volgens de MITRE ATT&CK-database is Patchwork niet definitief toegeschreven en enkel indirect bewijs suggereert dat de groep mogelijk een pro-Indiase of Indiase entiteit is. Deze groep richt zich vooral op diplomatieke en overheidsinstanties.
Lees voor meer technische informatie over VajraSpy en de spionage-apps van de Patchwork APT-groep de blog “VajraSpy: A Patchwork of espionage apps” op WeLiveSecurity.com.