חוקרי חברת אבטחת המידע ESET זיהו 12 אפליקציות ריגול ל-Android שהשתמשו בקוד זדוני זהה, כש-6 מהן היו זמינות להורדה ב-Google Play. כל האפליקציות שזוהו פורסמו ככלים להעברת מסרים מיידיים, מלבד אפליקציה אחת שהתחזתה לאפליקציית חדשות. אפליקציות אלה הפעילו ברקע סוס טרויאני לגישה מרחוק (RAT) בשם VajraSpy, ששימש לריגול ממוקד ע״י קבוצת התקיפה ״Patchwork״. הקמפיין כוון בעיקר למשתמשים בפקיסטן. על פי המחקר של ESET, סביר כי הגורמים הזדוניים שעומדים מאחורי האפליקציות המודבקות השתמשו בהונאה רומנטית מסוג ״מלכודת דבש״ כדי לגרום לקורבנות להתקין את הנוזקה.
לקבוצת VajraSpy יש מגוון של יכולות ריגול הניתנות להרחבה על בסיס ההרשאות הניתנות לאפליקציה אליה מצורף הקוד של הקבוצה. הקוד גונב אנשי קשר, יומני שיחות והודעות סמס, אך בחלק מגרסאותיו יכול לגנוב גם הודעות ב-WhatsApp וב-Signal, להקליט שיחות ולצלם תמונות באמצעות מצלמת הטלפון.
על פי הנתונים הזמינים כיום, האפליקציות הזדוניות הורדו מעל 1,400 פעמים מחנות Google Play. במהלך המחקר של ESET ואבטחה חלשה של אחת מהתוכנות הובילה לחשיפת נתונים של אחד מהקורבנות, מה שאפשר לחוקרים לאתר את מיקומם של 148 מכשירים שנפרצו בפקיסטן ובהודו. סביר להניח שאלו הן המטרות האמיתיות של המתקפות. חברת ESET היא חברה בהתאחדות להגנה על אפליקציות ושותפה פעילה בתוכנית לצמצום נוזקות, שמטרתה היא איתור מהיר של אפליקציות החשודות כזדוניות ועצירתן לפני הגעתן לחנות האפליקציות Google Play. כשותפה בהתאחדות ההגנה על אפליקציות של גוגל, ESET זיהתה את האפליקציות הזדוניות ודיווחה עליהן לגוגל, וכיום הן אינן זמינות יותר להורדה בחנות. עם זאת, האפליקציות עדיין זמינות להורדה בחנויות אפליקציות אלטרנטיביות.
בשנה האחרונה, ESET זיהתה אפליקציית חדשות בשם Rafaqat הנגועה בסוס טרויאני ונועדה לגנוב מידע על משתמשים. מחקר מעמיק יותר חשף מספר אפליקציות עם קוד זדוני דומה. בסך הכל, ב-ESET ניתחו 12 אפליקציות מודבקות, כש-6 מהן (וביניהן Rafaqat) היו זמינות להורדה ב-Google Play, ו-6 אחרות נמצאו מחוץ לחנויות – בבסיס הנתונים של VirusTotal. לאפליקציות האלה היו שמות שונים, ביניהם – Privee Talk, MeetMe, Let’s Chat, Quick Chat, Rafaqat, Chit Chat, YohooTalk, TikTalk, Hello Chat, Nidus, Glow Chat ו-Wave Chat.
ככל הנראה, הגורמים הזדוניים שאחראים לקמפיין השתמשו בהונאה רומנטית מסוג ״מלכודת דבש״ כדי לפתות את קורבנותיהן. בהתחלה, הם יצרו קשר עם הקורבנות בפלטפורמה אחרת ושכנעו אותם לעבור לאפליקציית הצ׳ט הזדונית.
לוקאס סטפנקו, חוקר ESET שגילה את הנוזקה מסביר כי ״לפושעי סייבר יש כלי חזק במיוחד – הנדסה חברתית. אנו ממליצים בחום להימנע מלהקליק על קישורים שנשלחים בהודעת צ׳ט להורדת תוכנות או אפליקציות ותמיד כדאי להיות ערניים״.
התאריכים בהן האפליקציות המודבקות הפכו לזמינות להורדה