El actor de amenazas conocido como Patchwork probablemente utilizó trampas románticas para atrapar a sus víctimas en Pakistán e India e infectar sus dispositivos Android con un troyano de acceso remoto llamado VajraSpy.
La empresa eslovaca de ciberseguridad ESET dijo que descubrió 12 aplicaciones de espionaje, seis de las cuales estaban disponibles para descargar desde la tienda oficial Google Play Store y se descargaron colectivamente más de 1.400 veces entre abril de 2021 y marzo de 2023.
«VajraSpy tiene una serie de funciones de espionaje que se pueden ampliar en función de los permisos concedidos a la aplicación incluida en su código», afirma el investigador de seguridad Lukáš Štefanko dicho. «Roba contactos, archivos, registros de llamadas y mensajes SMS, pero algunas de sus implementaciones pueden incluso extraer mensajes de WhatsApp y Signal, grabar llamadas telefónicas y tomar fotografías con la cámara».
Se estima que hasta 148 dispositivos en Pakistán e India han sido comprometidos en estado salvaje. Las aplicaciones maliciosas distribuidas a través de Google Play y otros lugares se hacen pasar principalmente por aplicaciones de mensajería, y las más recientes se propagaron en septiembre de 2023.
- Charla privada (com.priv.talk)
- MeetMe (com.meeete.org)
- Charlemos (com.letsm.chat)
- Chat rápido (com.qqc.chat)
- Rafaqat رفاق (com.rafaqat.news)
- Chit Chat (com.chit.chat)
- YohooTalk (com.yoho.talk)
- TikTalk (com.tik.talk)
- Hola Chat (com.hello.chat)
- Nidus (com.nidus.no o com.nionio.org)
- GlowChat (com.glow.glow)
- Chat de ondas (com.wave.chat)
Rafaqat رفاق se destaca por el hecho de que es la única aplicación que no es de mensajería y se anunciaba como una forma de acceder a las últimas noticias. Fue subido a Google Play el 26 de octubre de 2022 por un desarrollador llamado Mohammad Rizwan y acumuló un total de 1000 descargas antes de que Google lo eliminara.
El vector de distribución exacto del malware no está claro actualmente, aunque la naturaleza de las aplicaciones sugiere que los objetivos fueron engañados para descargarlas como parte de una estafa romántica, donde los perpetradores los convencen de instalar estas aplicaciones falsas con el pretexto. de tener una conversación más segura.
Esta no es la primera vez que Patchwork, un actor de amenazas con presuntos vínculos con la India, aprovecha esta técnica. En marzo de 2023, Meta reveló que el equipo de hackers creó personajes ficticios en Facebook e Instagram para compartir enlaces a aplicaciones maliciosas para atacar a víctimas en Pakistán, India, Bangladesh, Sri Lanka, Tíbet y China.
Tampoco es la primera vez que se observa a los atacantes implementando VajraRAT, que la empresa china de ciberseguridad QiAnXin documentó previamente a principios de 2022 como utilizado en un campaña dirigido al gobierno y entidades militares de Pakistán. Vajra recibe su nombre del palabra sánscrita para el rayo.
Qihoo 360, en su propio análisis del malware en noviembre de 2023, lo vinculó a un actor de amenazas al que rastrea bajo el nombre de Fire Demon Snake (también conocido como APT-C-52).
Fuera de Pakistán e India, es probable que las entidades gubernamentales nepalesas también hayan sido atacadas a través de una campaña de phishing que ofrece una puerta trasera basada en Nim. Ha sido atribuido al grupo SideWinder, otro grupo que, según se ha señalado, opera teniendo en cuenta los intereses indios.
El desarrollo se produce cuando se descubrió que actores de amenazas con motivación financiera de Pakistán e India atacaban a usuarios indios de Android con una aplicación de préstamo falsa (Moneyfine o «com.moneyfine.fine») como parte de una estafa de extorsión que manipula la selfie cargada como parte de una Conozca el proceso de su cliente (KYC) para crear una imagen de desnudo y amenaza a las víctimas con realizar un pago o arriesgarse a que las fotos manipuladas se distribuyan a sus contactos.
«Estos actores de amenazas desconocidos y motivados financieramente hacen promesas tentadoras de préstamos rápidos con formalidades mínimas, entregan malware para comprometer sus dispositivos y emplean amenazas para extorsionar dinero», Cyfirma dicho en un análisis a finales del mes pasado.
También se produce en medio de una tendencia más amplia de personas que son víctimas de aplicaciones de préstamos predatorias, que se sabe que recopilan información confidencial de dispositivos infectados y emplean tácticas de chantaje y acoso para presionar a las víctimas para que realicen los pagos.
Según un informe reciente publicado Según el Network Contagion Research Institute (NCRI), los adolescentes de Australia, Canadá y Estados Unidos son cada vez más el blanco de ataques de sextorsión financiera llevados a cabo por Grupo cibercriminal con sede en Nigeria conocido como Chicos de Yahoo.
«Casi toda esta actividad está vinculada a los ciberdelincuentes de África occidental conocidos como Yahoo Boys, que se dirigen principalmente a menores y adultos jóvenes de habla inglesa en Instagram, Snapchat y Wizz», dijo el CNRI. dicho.
Wizz, que desde entonces tiene sus aplicaciones para Android e iOS derribados desde Apple App Store y Google Play Store, contrarrestado El informe del NCRI afirma que «no tiene conocimiento de ningún intento exitoso de extorsión que haya ocurrido mientras se comunicaba en la aplicación Wizz».