ESET 研究人員識別出 12 個共享相同惡意代碼的 Android 間諜應用程式,其中 6 個可以在 Google Play 上下載。所有觀察到的應用程式都被宣傳為通訊工具,只有一個被偽裝成新聞應用程式。這些應用程式在背景中,秘密執行一個名為 VajraSpy 的遙距存取特洛伊木馬(RAT)代碼,該代碼由 Patchwork APT 組織用於有針對性的間諜活動。此次攻擊目前主要針對巴基斯坦的使用者。根據 ESET 的調查,黑客可能使用了一種誘騙戀愛詐騙手法,誘使受害者安裝惡意軟件。
VajraSpy 擁有一系列的間諜功能,可以根據應用程式的權限擴展其功能。它可以竊取聯絡人、檔案、通話記錄和短訊,甚至可以提取 WhatsApp 和 Signal 的訊息,錄製電話通話,以及使用相機拍照。
根據現有數據,這些惡意應用程式曾經在 Google Play 上被下載了超過 1,400 次。在 ESET 的調查中,因為其中一個應用程式的安全性問題,導致一些受害者數據的曝光,這使得研究人員能夠追蹤到巴基斯坦和印度的 148 個被入侵裝置的地理位置。ESET 是 App Defense 聯盟的成員,也是惡意軟件防治計劃中的一個積極合作夥伴,該計劃旨在在這些軟件進入 Google Play 之前,迅速發現可能有害的應用程式並停止它們。作為 Google App Defense 聯盟的合作夥伴,ESET 識別出這些惡意應用程式並向 Google 報告,它們已經從商店中下架。然而,這些應用程式仍然在其他應用程式商店上可用。
去年,ESET 檢測到一個被特洛伊化的新聞應用程式 Rafaqat 被用於竊取使用者信息。進一步的研究揭示了幾個擁有相同惡意代碼的應用程式。ESET 總共分析了 12 個被特洛伊化的應用程式,其中 6 個(包括 Rafaqat)在 Google Play 上可用,另外 6 個在野外發現(在 VirusTotal 數據庫中)。這些應用程式有各種不同的名稱,如 Privee Talk、MeetMe、Let’s Chat、Quick Chat、Rafaqat、Chit Chat、YohooTalk、TikTalk、Hello Chat、Nidus、GlowChat 和 Wave Chat。
為了誘使受害者,黑客可能使用有針對性的誘騙戀愛詐騙手法,最初在其他平台上與受害者聯繫,然後說服他們轉換到特洛伊化的聊天應用程式。ESET 研究人員 Lukáš Štefanko 建議:「網絡犯罪分子利用社交工程作為一種強大的武器。我們強烈建議不要點擊在聊天對話中發送的任何下載應用程式的超連結。」Lukáš Štefanko 是發現這種 Android 間諜軟件的 ESET 研究人員。
關於Version 2
Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。
關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。
