- Výskumníci spoločnosti ESET odhalili novú kybernetickú špionážnu kampaň, ktorú s vysokou mierou istoty pripisujú APT skupine Patchwork.
- Kampaň využívala na distribúciu šiestich škodlivých aplikácií s trójskym koňom pre vzdialený prístup VajraSpy obchod Google Play, ďalších šesť aplikácií bolo distribuovaných voľne na internete.
- Aplikácie si používatelia z Google Play nainštalovali viac ako 1 400-krát a sú stále dostupné v alternatívnych obchodoch s aplikáciami.
- Skupina Patchwork pravdepodobne použila na zmanipulovanie obetí k inštalácii škodlivého softvéru romantické návnady.
- Kampaň sa zamerala najmä na používateľov v Pakistane.
Výskumníci spoločnosti ESET identifikovali 12 špionážnych aplikácií pre Android, ktoré zdieľajú rovnaký škodlivý kód, pričom šesť z nich bolo dostupných aj na obchode Google Play. Všetky aplikácie sa vydávali za nástroje na zasielanie správ, okrem jednej, ktorá sa vydávala za spravodajskú aplikáciu. Tieto aplikácie na pozadí tajne spúšťajú malvér – trójsky kôň pre vzdialený prístup (remote access trojan – RAT) s názvom VajraSpy, ktorý používa na cielenú špionáž APT skupina Patchwork. Kampaň sa zamerala najmä na používateľov v Pakistane. Na základe analýzy spoločnosti ESET útočníci pravdepodobne použili romantické pasce, aby svoje obete nalákali na inštaláciu škodlivého softvéru.
Malvér VajraSpy disponuje celým radom špionážnych funkcií, ktoré možno rozšíriť na základe oprávnení udelených aplikácii. Dokáže kradnúť kontakty, súbory, protokoly hovorov a SMS správy. Niektoré verzie môžu dokonca extrahovať správy z aplikácií WhatsApp a Signal, nahrávať telefónne hovory a vyhotovovať fotografie pomocou fotoaparátu.
Podľa dostupných údajov boli škodlivé aplikácie, ktoré boli k dispozícii v službe Google Play, stiahnuté viac ako 1400-krát. Počas analýzy spoločnosti ESET viedlo slabé prevádzkové zabezpečenie jednej z aplikácií k odhaleniu niektorých údajov o obetiach, čo umožnilo výskumníkom lokalizovať 148 napadnutých zariadení v Pakistane a Indii. Tie boli pravdepodobne skutočnými cieľmi útokov.
ESET je členom aliancie na ochranu aplikácií App Defense Alliance a aktívnym partnerom v programe na zmierňovanie škodlivého softvéru, ktorého cieľom je rýchlo nájsť potenciálne škodlivé aplikácie a zastaviť ich ešte predtým, ako sa vôbec dostanú do Google Play. Ako partner Google App Defense Alliance spoločnosť ESET identifikovala škodlivé aplikácie a nahlásila ich spoločnosti Google a v obchode Play už nie sú dostupné. Aplikácie sa však stále nachádzajú v alternatívnych obchodoch s aplikáciami.
V minulom roku ESET odhalil škodlivú spravodajskú aplikáciu Rafaqat využívanú na krádež informácií o používateľoch. Ďalší výskum odhalil niekoľko ďalších aplikácií s rovnakým škodlivým kódom. ESET analyzoval celkovo 12 škodlivých aplikácií, z ktorých šesť (vrátane Rafaqat) bolo dostupných v Google Play a šesť sa našlo v databáze VirusTotal. Tieto aplikácie mali rôzne názvy, napríklad Privee Talk, MeetMe, Let's Chat, Quick Chat, Rafaqat, Chit Chat, YohooTalk, TikTalk, Hello Chat, Nidus, GlowChat a Wave Chat.
Na nalákanie svojich obetí útočníci pravdepodobne použili cielené romantické návnady, pričom obete najprv kontaktovali na inej platforme a potom ich presvedčili, aby prešli na aplikáciu na chatovanie, v ktorej sa skrýval trójsky kôň.
„Sociálne inžinierstvo je silnou zbraňou kyberzločincov. Dôrazne neodporúčame klikať na akékoľvek odkazy na stiahnutie aplikácie, ktoré sú odoslané v chatovej konverzácii. Môže byť ťažké zostať odolný voči falošným romantickým ponukám, ale oplatí sa byť vždy ostražitý,“ radí výskumník spoločnosti ESET Lukáš Štefanko, ktorý tento spyvér odhalil.
Podľa databázy MITRE ATT&CK nebola skupina Patchwork definitívne priradená k žiadnej krajine a len nepriame indície naznačujú, že by mohlo ísť o proindickú alebo indickú skupinu. Jej útočníci sa zameriavajú najmä na diplomatické a vládne subjekty.
Viac technických informácií nájdete v našom špeciálnom blogu na portáli WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na sieti X (niekdajší Twitter) ESET Research.
O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.