- ESET Research heeft een nieuwe cyberspionagecampagne ontdekt die ESET met een hoge mate van betrouwbaarheid toeschrijft aan de Patchwork APT-groep.
- De campagne maakte gebruik van Google Play om zes schadelijke apps die de VajraSpy RAT-code bevatten te verspreiden; zes andere werden in het wild verspreid.
- De apps op Google Play werden meer dan 1400 keer geïnstalleerd en zijn nog steeds beschikbaar in alternatieve app stores.
- Patchwork gebruikte waarschijnlijk een ‘honey-trap scam’ om hun slachtoffers te verleiden tot het installeren van de malware.
Sliedrecht, 5 februari 2024 – ESET -onderzoekers hebben 12 Android-spionage-apps geïdentificeerd die dezelfde kwaadaardige code delen; zes ervan waren beschikbaar op Google Play. De meeste waargenomen applicaties werden geadverteerd als berichtenapplicaties, op één na die zich voordeed als een nieuwsapplicatie. Op de achtergrond voeren deze apps onopgemerkt een remote access trojan (RAT)-code uit met de naam ‘VajraSpy’, die wordt gebruikt voor gerichte spionage door de Patchwork APT-groep. De campagne was vooral gericht op gebruikers in Pakistan. Op basis van ESET's onderzoek gebruikten de dreigingsactoren achter de getrojaniseerde apps waarschijnlijk een ‘honey-trap scam’ om hun slachtoffers te verleiden tot het installeren van de malware.
VajraSpy heeft een reeks spionagefuncties die kunnen worden uitgebreid op basis van de machtigingen die aan de app met zijn kwaadaardige code zijn verleend. Het steelt contacten, bestanden, gesprekslogs en sms-berichten, bovendien kunnen sommige implementaties zelfs WhatsApp- en Signal-berichten stelen, telefoongesprekken opnemen en foto's maken met de camera.
Gebaseerd op beschikbare cijfers werden de schadelijke apps die beschikbaar waren op Google Play meer dan 1400 keer gedownload. Tijdens het ESET-onderzoek leidde de zwakke operationele beveiliging van één van de apps ertoe dat sommige slachtoffergegevens werden blootgelegd, waardoor onderzoekers 148 gecompromitteerde apparaten in Pakistan en India konden lokaliseren. Dit waren waarschijnlijk de eigenlijke doelwitten van de aanvallen. ESET is lid van de App Defense Alliance en een actieve partner in het programma om malware te verminderen, dat als doel heeft om potentiële kwaadaardige applicaties (Engels: Potentially Harmful Applications of PHA’s) snel op te sporen en te stoppen voordat ze ooit op Google Play terecht komen. Als Google App Defense Alliance-partner heeft ESET de schadelijke apps geïdentificeerd en gerapporteerd aan Google, waardoor ze niet langer beschikbaar zijn in de Google Play-store. De apps zijn echter nog wel beschikbaar in alternatieve app stores.
Vorig jaar ontdekte ESET een kwaadaardige nieuwsapplicatie genaamd ‘Rafaqat’ die werd gebruikt als trojanapp, om informatie van gebruikers te stelen. Verder onderzoek heeft nog meer applicaties met dezelfde kwaadaardige code aan het licht gebracht. In totaal analyseerde ESET 12 kwaadaardige apps, waarvan er zes (waaronder Rafaqat) beschikbaar waren op Google Play, en zes in het wild - in de VirusTotal database. Deze apps hadden verschillende namen, zoals ‘Privee Talk’, ‘MeetMe’, ‘Let's Chat’, ‘Quick Chat’, ‘Rafaqat’, ‘Chit Chat’, ‘YohooTalk’, ‘TikTalk’, ‘Hello Chat’, ‘Nidus’, ‘GlowChat’ en ‘Wave Chat’.
Om hun slachtoffers te lokken, gebruikten de dreigingsactoren waarschijnlijk gerichte 'honey-trap romance scams', waarbij ze in eerste instantie contact opnamen met de slachtoffers via een ander platform en hen vervolgens overtuigden om over te stappen naar een chatprogramma, die als trojan werkt. "Cybercriminelen gebruiken social engineering als een krachtig wapen. We raden ten zeerste af om op links te klikken om een applicatie te downloaden die worden verzonden in een chatgesprek. Het kan moeilijk zijn om niet in te gaan op misleidende romantische avances, maar het is belangrijk om altijd waakzaam te zijn," adviseert ESET-onderzoeker Lukáš Štefanko, die deze Android-spyware ontdekte.
Volgens de MITRE ATT&CK database zijn deze applicaties niet met absolute zekerheid toe te wijzen aan Patchwork en is er alleen indirect bewijs dat suggereert dat de groep mogelijk een pro-Indiaas of een Indiase entiteit is. Deze APT-groep richt zich vooral op diplomatieke- en overheidsinstanties.
Voor meer technische informatie over VajraSpy en de spionage-apps van de Patchwork APT-groep, bekijk de blogpost "VajraSpy: A Patchwork of spionage apps" op WeLiveSecurity.com. Zorg ervoor dat je ESET Research volgt op X (voorheen bekend als Twitter) voor het laatste nieuws van ESET Research.
Tijdlijn met de data waarop de kwaadaardige apps beschikbaar werden
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESETs R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X (voorheen Twitter).