Hintli APT grubu yama işiPakistanlılara yönelik hedef odaklı kimlik avı siber saldırılarıyla tanınan şirket, yasal mesajlaşma ve haber hizmetleri gibi görünen altı farklı Android casusluk uygulamasını dağıtmak için Google Play’i kötüye kullanırken yakalandı. Gerçekte, VajraSpy adı verilen yeni keşfedilen bir uzaktan erişim Truva Atı (RAT) yüklü olarak gelirler.

Kampanyayı ortaya çıkaran ESET araştırmacıları, VjjaraSpy RAT’ın aramaları, SMS mesajlarını, dosyaları, kişileri ve daha fazlasını ele geçirdiğini buldu. güvenlik firmasının Patchwork raporuna göre Bu hafta. Ayrıca WhatsApp ve Signal mesajlarını çıkarabilir, telefon görüşmelerini kaydedebilir ve kamera resimleri çekebilirler. Araştırmacılar, RAT’ın bulaştığı uygulamaların Google Play mağazasından toplamda 1.400’den fazla indirildiğini buldu.

Altıya ek olarak Google Play uygulamaları ESET ekibi, VajraSpy’ı sunmak için kullanılan ek altı tanesinin üçüncü taraf/resmi olmayan uygulama mağazalarında dağıtıldığını buldu. Sahte uygulamalar Privee Talk, MeetMe, Let’s Chat, Quick Chat, Rafagat ve Faraqat gibi isimlerle anılıyor.

“Birkaç göstergeye dayanarak, kampanya çoğunlukla Pakistanlı kullanıcıları hedef alıyordu: Kötü amaçlı uygulamalardan biri olan Rafaqat رفاقت, Google Play’de geliştirici adı olarak popüler bir Pakistanlı kriket oyuncusunun adını kullandı; hesap oluşturulduktan sonra telefon numarası isteyen uygulamalar, Rapora göre, Pakistan ülke kodu varsayılan olarak seçiliydi ve güvenlik açığı nedeniyle keşfedilen ele geçirilmiş cihazların çoğu Pakistan’da bulunuyordu.”

Raporda, siber suçluların mağdurları uygulamaları indirmeye ikna etmek için hedefli saldırılarda sevgi vaadini kullandıkları ortaya çıktı.

ESET’in raporunda, “Tehdit aktörleri, kurbanlarını ikna etmek için büyük ihtimalle hedefli bal tuzağı aşk dolandırıcılığı kullandı; kurbanlarla başlangıçta başka bir platform üzerinden iletişime geçti ve ardından onları truva atı haline getirilmiş bir sohbet uygulamasına geçmeye ikna etti.” ifadesine yer verildi.

ESET, uygulamaları Google’a bildirdi ve uygulamalar Play Store’dan kaldırıldı.



siber-1