Un cheval de Troie d’accès à distance Android (RAT) connu sous le nom de VajraSpy a été trouvé dans 12 applications malveillantes, dont six étaient disponibles sur Google Play du 1er avril 2021 au 10 septembre 2023.

Les applications malveillantes, qui ont maintenant été supprimées de Google Play mais restent disponibles sur des magasins d’applications tiers, sont déguisées en applications de messagerie ou d’actualités.

Ceux qui ont installé les applications ont été infectés par VajraSpy, permettant au logiciel malveillant de voler des données personnelles, y compris des contacts et des messages, et en fonction des autorisations accordées, même d’enregistrer leurs appels téléphoniques.

Les chercheurs d’ESET qui ont découvert la campagne rapportent que ses opérateurs sont le Patchwork APT group, actif depuis au moins la fin de 2015, ciblant principalement les utilisateurs au Pakistan.

En 2022, l’acteur de la menace a involontairement révélé les détails de sa propre campagne lorsqu’il a accidentellement infecté son infrastructure avec le RAT « Ragnatela », un outil qu’il utilisait à l’époque. Ce faux pas a fourni à Malwarebytes une fenêtre sur les opérations du Patchwork.

Le lien entre VajraSpy et le cluster d’activités qu’ESET identifie comme Patchwork a été établi pour la première fois par QiAnXin en 2022 (attribuant à APT-Q-43), suivi de Meta en mars 2023 et de Qihoo 360 en novembre 2023 (attribuant à APT-C-52).

Espionnage Android
Lukas Stefanko, chercheur chez ESET, a découvert 12 applications Android malveillantes contenant le même code de RAT VajraSpy, dont six ont été téléchargées sur Google Play, où elles ont été téléchargées environ 1 400 fois.

Les applications qui étaient disponibles sur Google Play sont:

  1. Rafaqat رفاقت
  2. Privee Talk
  3. MeetMe
  4. Let’s Chat
  5. Quick Chat
  6. Chit Chat

Les applications d’espionnage Vajra disponibles en dehors de Google Play sont toutes de fausses applications de messagerie:

  1. Hello Chat
  2. YohooTalk
  3. TikTalk
  4. Nidus
  5. GlowChat
  6. Wave Chat
Chronologie de la campagne et des applications utilisées

Les magasins d’applications tiers ne signalent pas le nombre de téléchargements, de sorte que le nombre de personnes qui les ont installés via ces plates-formes est inconnu.

L’analyse télémétrique d’ESET indique que la plupart des victimes se trouvent au Pakistan et en Inde et sont très probablement incitées à installer les fausses applications de messagerie via une arnaque amoureuse.

Deux des 12 fausses applications

VajraSpy est un logiciel espion et un RAT qui prend en charge diverses fonctionnalités d’espionnage qui tournent principalement autour du vol de données. Ses capacités sont résumées comme suit:

  • Recueillir et transmettre des données personnelles à partir de l’appareil infecté, y compris les contacts, les journaux d’appels et les messages SMS.
  • Interceptez et extrayez des messages à partir d’applications de communication cryptées populaires telles que WhatsApp et Signal.
  • Enregistrez les appels téléphoniques pour permettre l’écoute des conversations privées.
  • Activez l’appareil photo de l’appareil pour prendre des photos, le transformant en un outil de surveillance.
  • Interceptez les notifications de diverses applications en temps réel.
  • Recherchez et exfiltrez des documents, des images, des fichiers audio et d’autres types de fichiers.
VajraSpy enregistre les données de WhatsApp

La puissance de VajraSpy réside dans sa nature modulaire et son adaptabilité, tandis que l’étendue de ses capacités d’espionnage est déterminée par le niveau d’autorisations qu’il obtient sur un appareil infecté.

ESET conclut en conseillant aux utilisateurs de s’abstenir de télécharger des applications de chat obscures recommandées par des personnes qu’ils ne connaissent pas, car il s’agit d’une tactique courante et de longue date des cybercriminels pour infiltrer les appareils.

Alors que Google Play introduit de nouvelles règles qui rendent plus difficile la dissimulation des logiciels malveillants dans les applications, les auteurs de menaces continuent de glisser leurs applications malveillantes sur la plate-forme.

Les attaques précédentes ont donné de bien meilleurs résultats que cette campagne de logiciels espions VajraSpy, comme une campagne de logiciels publicitaires d’octobre rassemblant 2 millions d’installations.

Plus récemment, il a été découvert que le logiciel malveillant voleur d’informations SpyLoan avait été téléchargé 12 millions de fois sur Google Play en 2023.

Mise à jour 2/2 – Un porte-parole de Google a envoyé à Breachtrace le commentaire suivant:

Nous prenons au sérieux les réclamations en matière de sécurité et de confidentialité contre les applications, et si nous constatons qu’une application a enfreint nos politiques, nous prenons les mesures appropriées.

Les utilisateurs sont protégés par Google Play Protect, qui peut avertir les utilisateurs des applications connues pour présenter ce comportement malveillant sur les appareils Android avec les services Google Play, même lorsque ces applications proviennent de sources extérieures à Play.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *