Patchwork olarak bilinen tehdit aktörü, muhtemelen Pakistan ve Hindistan’daki kurbanları tuzağa düşürmek için romantik dolandırıcılık tuzakları kullanmış ve onların Android cihazlarına, adlı bir uzaktan erişim truva atı bulaştırmış. VajraSpy.
Slovak siber güvenlik firması ESET, altısı resmi Google Play Store’dan indirilebilen ve Nisan 2021 ile Mart 2023 arasında toplu olarak 1.400’den fazla kez indirilen 12 casusluk uygulamasını ortaya çıkardığını söyledi.
Güvenlik araştırmacısı Lukáš Štefanko, “VajraSpy, koduyla birlikte verilen uygulamaya verilen izinlere göre genişletilebilecek bir dizi casusluk işlevine sahip” dedi. söz konusu. “Kişileri, dosyaları, arama kayıtlarını ve SMS mesajlarını çalıyor, ancak bazı uygulamaları WhatsApp ve Signal mesajlarını bile çıkarabiliyor, telefon görüşmelerini kaydedebiliyor ve kamerayla fotoğraf çekebiliyor.”
Pakistan ve Hindistan’da 148 kadar cihazın ele geçirildiği tahmin ediliyor. Google Play ve başka yerlerde dağıtılan kötü amaçlı uygulamalar, esasen mesajlaşma uygulaması kılığına giriyordu; en yenileri ise Eylül 2023 gibi yakın bir tarihte yayıldı.
- Privee Konuşması (com.priv.talk)
- MeetMe (com.meeete.org)
- Haydi Sohbet Edelim (com.letsm.chat)
- Hızlı Sohbet (com.qqc.chat)
- Rafaqat رفاق (com.rafaqat.news)
- Chit Sohbeti (com.chit.chat)
- YohooTalk (com.yoho.talk)
- TikTalk (com.tik.talk)
- Merhaba Sohbet (com.hello.chat)
- Nidus (com.nidus.no veya com.nionio.org)
- GlowChat (com.glow.glow)
- Dalga Sohbeti (com.wave.chat)
Rafaqat رفاق, mesajlaşmayan tek uygulama olması ve en son haberlere erişmenin bir yolu olarak tanıtılmasıyla dikkat çekiyor. Mohammad Rizwan adlı bir geliştirici tarafından 26 Ekim 2022’de Google Play’e yüklendi ve Google tarafından yayından kaldırılmadan önce toplam 1.000 indirme sayısına ulaştı.
Kötü amaçlı yazılımın tam dağıtım vektörü şu anda net değil, ancak uygulamaların doğası, hedeflerin onları bal tuzağı aşk dolandırıcılığının bir parçası olarak kandırarak indirdiklerini gösteriyor; failler onları bu sahte uygulamaları bahane altında yüklemeye ikna ediyor. daha güvenli bir konuşma yapmak.
Bu, Hindistan’la bağları olduğundan şüphelenilen bir tehdit aktörü olan Patchwork’ün bu tekniği ilk kez kullanması değil. Mart 2023’te Meta, bilgisayar korsanlığı ekibinin Pakistan, Hindistan, Bangladeş, Sri Lanka, Tibet ve Çin’deki kurbanları hedef alan sahte uygulamaların bağlantılarını paylaşmak için Facebook ve Instagram’da hayali kişiler oluşturduğunu ortaya çıkardı.
Ayrıca saldırganların, daha önce Çinli siber güvenlik şirketi QiAnXin tarafından 2022’nin başlarında belgelenen VajraRAT’ı konuşlandırırken gözlemlenmesi ilk kez değil. kampanya Pakistan hükümetini ve askeri birimleri hedef alıyor. Vajra adını buradan alıyor Sanskritçe kelime yıldırım için.
Qihoo 360, kendi içinde kendi analizi Kasım 2023’te kötü amaçlı yazılımın tespit edilmesi, onu Fire Demon Snake (diğer adıyla APT-C-52) adı altında takip ettiği bir tehdit aktörüne bağladı.
Pakistan ve Hindistan dışında, Nepal devlet kurumları da büyük olasılıkla Nim tabanlı bir arka kapı sağlayan bir kimlik avı kampanyasıyla hedef alındı. Olmuştur atfedilen Hindistan’ın çıkarlarını göz önünde bulundurarak faaliyet gösterdiği belirtilen bir başka grup olan SideWinder grubuna.
Bu gelişme, Pakistan ve Hindistan’dan finansal motivasyona sahip tehdit aktörlerinin, sahte bir kredi uygulamasıyla (Moneyfine veya “com.moneyfine.fine”) Hintli Android kullanıcılarını hedef aldıklarının tespit edilmesiyle ortaya çıktı. Çıplak bir görüntü oluşturmaya yönelik müşterinizi tanıyın (KYC) süreci ve mağdurları ödeme yapmakla veya üzerinde oynanmış fotoğrafların kişilerine dağıtılması riskiyle tehdit etmek.
Cyfirma, “Bu bilinmeyen, finansal motivasyona sahip tehdit aktörleri, minimum formalitelerle hızlı krediler verme konusunda cazip vaatlerde bulunuyor, cihazlarını tehlikeye atmak için kötü amaçlı yazılımlar dağıtıyor ve para sızdırmak için tehditler kullanıyor.” söz konusu geçen ayın sonlarında yapılan bir analizde.
Aynı zamanda bir daha geniş eğilim Virüslü cihazlardan hassas bilgiler topladığı ve kurbanları ödeme yapmaya zorlamak için şantaj ve taciz taktikleri kullandığı bilinen yağmacı kredi uygulamalarının tuzağına düşen kişilerin sayısı.
Son zamanlarda yayınlanan bir rapora göre yayınlanan Network Contagion Research Institute (NCRI) tarafından Avustralya, Kanada ve ABD’deki gençler, giderek daha fazla, tarafından yürütülen mali şantaj saldırılarının hedefi oluyor. Nijerya merkezli siber suç grubu olarak bilinir Yahoo Boys.
NCRI, “Bu faaliyetlerin neredeyse tamamı, öncelikle Instagram, Snapchat ve Wizz’de İngilizce konuşan küçükleri ve genç yetişkinleri hedef alan, Yahoo Boys olarak bilinen Batı Afrikalı siber suçlularla bağlantılıdır.” söz konusu.
O zamandan beri Android ve iOS uygulamalarına sahip olan Wizz aşağı çekilmiş Apple App Store ve Google Play Store’dan, karşı çıktı NCRI raporunda “Wizz uygulamasında iletişim kurulurken meydana gelen herhangi bir başarılı gasp girişiminden haberdar olmadığı” belirtildi.