L’acteur malveillant connu sous le nom de Patchwork a probablement utilisé des leurres d’arnaques amoureuses pour piéger ses victimes au Pakistan et en Inde, et infecter leurs appareils Android avec un cheval de Troie d’accès à distance appelé VajraEspion.
La société slovaque de cybersécurité ESET a déclaré avoir découvert 12 applications d’espionnage, dont six étaient disponibles en téléchargement sur le Google Play Store officiel et ont été collectivement téléchargées plus de 1 400 fois entre avril 2021 et mars 2023.
« VajraSpy dispose d’une gamme de fonctionnalités d’espionnage qui peuvent être étendues en fonction des autorisations accordées à l’application fournie avec son code », explique le chercheur en sécurité Lukáš Štefanko. dit. « Il vole des contacts, des fichiers, des journaux d’appels et des messages SMS, mais certaines de ses implémentations peuvent même extraire des messages WhatsApp et Signal, enregistrer des appels téléphoniques et prendre des photos avec l’appareil photo. »
On estime que jusqu’à 148 appareils au Pakistan et en Inde ont été compromis dans la nature. Les applications malveillantes distribuées via Google Play et ailleurs se faisaient principalement passer pour des applications de messagerie, les plus récentes se propageant aussi récemment qu’en septembre 2023.
- Discussion privée (com.priv.talk)
- MeetMe (com.meeete.org)
- Discutons (com.letsm.chat)
- Chat rapide (com.qqc.chat)
- Rafaqat رفاق (com.rafaqat.news)
- Chit Chat (com.chit.chat)
- YohooTalk (com.yoho.talk)
- TikTalk (com.tik.talk)
- Bonjour Chat (com.hello.chat)
- Nidus (com.nidus.no ou com.nionio.org)
- GlowChat (com.glow.glow)
- Wave Chat (com.wave.chat)
Rafaqat رفاق se distingue par le fait qu’il s’agit de la seule application sans messagerie et qu’elle a été présentée comme un moyen d’accéder aux dernières nouvelles. Il a été téléchargé sur Google Play le 26 octobre 2022 par un développeur nommé Mohammad Rizwan et a accumulé un total de 1 000 téléchargements avant d’être retiré par Google.
Le vecteur de distribution exact du malware n’est pas clair pour le moment, même si la nature des applications suggère que les cibles ont été amenées à les télécharger dans le cadre d’une escroquerie amoureuse, où les auteurs les convainquent d’installer ces fausses applications sous prétexte. d’avoir une conversation plus sécurisée.
Ce n’est pas la première fois que Patchwork – un acteur menaçant soupçonné d’avoir des liens avec l’Inde – utilise cette technique. En mars 2023, Meta a révélé que l’équipe de piratage avait créé des personnages fictifs sur Facebook et Instagram pour partager des liens vers des applications malveillantes afin de cibler des victimes au Pakistan, en Inde, au Bangladesh, au Sri Lanka, au Tibet et en Chine.
Ce n’est pas non plus la première fois que les attaquants sont observés en train de déployer VajraRAT, qui avait déjà été documenté par la société chinoise de cybersécurité QiAnXin début 2022 comme ayant été utilisé dans un campagne destiné au gouvernement et aux entités militaires pakistanais. Vajra tire son nom du mot sanskrit pour le coup de foudre.
Qihoo 360, dans son propre analyse du malware en novembre 2023, l’a lié à un acteur menaçant qu’il suit sous le surnom de Fire Demon Snake (alias APT-C-52).
En dehors du Pakistan et de l’Inde, les entités gouvernementales népalaises ont probablement également été ciblées par une campagne de phishing qui propose une porte dérobée basée sur Nim. Il a été attribué au groupe SideWinder, un autre groupe qui a été signalé comme agissant dans le respect des intérêts indiens.
Cette évolution survient alors que des acteurs menaçants motivés par des raisons financières au Pakistan et en Inde ciblent les utilisateurs indiens d’Android avec une fausse application de prêt (Moneyfine ou « com.moneyfine.fine ») dans le cadre d’une escroquerie d’extorsion qui manipule le selfie téléchargé dans le cadre d’un Connaissez votre client (KYC) pour créer une image nue et menace les victimes d’effectuer un paiement ou de risquer que les photos falsifiées soient distribuées à leurs contacts.
« Ces acteurs malveillants inconnus et motivés par des raisons financières font des promesses alléchantes de prêts rapides avec un minimum de formalités, diffusent des logiciels malveillants pour compromettre leurs appareils et emploient des menaces pour extorquer de l’argent », Cyfirma dit dans une analyse à la fin du mois dernier.
Cela se produit également au milieu d’un tendance plus large de personnes sont la proie d’applications de prêt prédatrices, connues pour récolter des informations sensibles sur des appareils infectés, et recourent à des tactiques de chantage et de harcèlement pour faire pression sur les victimes afin qu’elles effectuent les paiements.
Selon un récent rapport publié Selon le Network Contagion Research Institute (NCRI), les adolescents d’Australie, du Canada et des États-Unis sont de plus en plus ciblés par des attaques de sextorsion financière menées par Groupe cybercriminel basé au Nigeria connu comme Yahoo Garçons.
« La quasi-totalité de cette activité est liée aux cybercriminels ouest-africains connus sous le nom de Yahoo Boys, qui ciblent principalement les mineurs et les jeunes adultes anglophones sur Instagram, Snapchat et Wizz », a déclaré le CNRI. dit.
Wizz, qui a depuis eu ses applications Android et iOS démonté depuis l’Apple App Store et le Google Play Store, contré » le rapport du CNRI, déclarant qu’il « n’est au courant d’aucune tentative d’extorsion réussie survenue lors de la communication sur l’application Wizz ».