Die Bedrohungsakteure, die als Patchwork bekannt sind, haben wahrscheinlich Romance-Scam-Verlockungen genutzt, um Opfer in Pakistan und Indien zu fangen und ihre Android-Geräte mit einem Remote-Zugriffstrojaner namens VajraSpy zu infizieren.
Die slowakische Cybersicherheitsfirma ESET gab bekannt, dass sie 12 Spionage-Apps gefunden hat, von denen sechs im offiziellen Google Play Store zum Download verfügbar waren und insgesamt mehr als 1.400 Mal zwischen April 2021 und März 2023 heruntergeladen wurden.
„VajraSpy verfügt über verschiedene Spionagefunktionen, die basierend auf den Berechtigungen, die der App mit ihrem Code gewährt werden, erweitert werden können“, sagte der Sicherheitsforscher Lukáš Štefanko. „Es stiehlt Kontakte, Dateien, Anrufprotokolle und SMS-Nachrichten, aber einige seiner Implementierungen können sogar WhatsApp- und Signal-Nachrichten extrahieren, Telefongespräche aufzeichnen und Bilder mit der Kamera aufnehmen.“
Insgesamt wurden in Pakistan und Indien schätzungsweise 148 Geräte kompromittiert. Die bösartigen Apps, die über Google Play und andere Plattformen verteilt wurden, tarnten sich hauptsächlich als Messaging-Anwendungen, wobei die neuesten im September 2023 verbreitet wurden.
Rafaqat رفاق fällt besonders auf, da es die einzige Nicht-Messaging-App ist und als Möglichkeit beworben wurde, die neuesten Nachrichten abzurufen. Es wurde am 26. Oktober 2022 von einem Entwickler namens Mohammad Rizwan im Google Play Store hochgeladen und wurde insgesamt 1.000 Mal heruntergeladen, bevor es von Google entfernt wurde.
Der genaue Verbreitungsweg für die Malware ist derzeit nicht klar, obwohl die Art der Apps darauf hindeutet, dass die Opfer durch eine Romance-Scam-Falle dazu gebracht wurden, sie herunterzuladen. Bei dieser Betrugsmasche überreden die Täter ihre Opfer, diese gefälschten Apps unter dem Vorwand eines sichereren Gesprächs zu installieren.
Dies ist nicht das erste Mal, dass Patchwork – eine Bedrohungsakteurin mit mutmaßlichen Verbindungen zu Indien – diese Technik einsetzt. Im März 2023 enthüllte Meta, dass die Hacking-Crew fiktive Identitäten auf Facebook und Instagram erstellt hat, um Links zu betrügerischen Apps zu teilen und so Opfer in Pakistan, Indien, Bangladesch, Sri Lanka, Tibet und China anzugreifen.
Es ist auch nicht das erste Mal, dass beobachtet wurde, wie die Angreifer VajraRAT einsetzen, das in früheren Untersuchungen von der chinesischen Cybersicherheitsfirma QiAnXin Anfang 2022 als Teil einer Kampagne gegen Regierungs- und Militäreinrichtungen in Pakistan dokumentiert wurde. Vajra hat seinen Namen vom Sanskrit-Wort für Donnerkeil.
Gemäß einer Analyse von Qihoo 360 im November 2023 kann diese Malware einer Bedrohungsakteurin namens Fire Demon Snake (auch bekannt als APT-C-52) zugeordnet werden.
Neben Pakistan und Indien wurden auch Regierungseinrichtungen in Nepal voraussichtlich über eine Phishing-Kampagne anvisiert, die einen Nim-basierten Backdoor übermittelt. Dies wurde der Gruppe SideWinder zugeschrieben, einer weiteren Gruppe, die sich angeblich für indische Interessen einsetzt.
Diese Entwicklungen erfolgen parallel zu der Tendenz, dass Menschen zunehmend Opfer von betrügerischen Kredit-Apps werden, die sensible Daten von infizierten Geräten sammeln und Erpressung und Belästigungstaktiken einsetzen, um die Opfer zur Zahlung zu zwingen.
Laut einem kürzlich veröffentlichten Bericht des Network Contagion Research Institute (NCRI) werden Teenager aus Australien, Kanada und den USA zunehmend von sogenannten finanziellen Sextortionsangriffen der in Nigeria ansässigen Gruppe Yahoo Boys angegriffen.
Wizz, dessen Android- und iOS-Apps mittlerweile aus dem Apple App Store und dem Google Play Store entfernt wurden, widersprach dem Bericht des NCRI und erklärte, dass „ihm keine erfolgreichen Erpressungsversuche bekannt sind, die während der Kommunikation in der Wizz-App stattfanden“.