Vajraspy olarak bilinen bir Android Remote Access Trojan (sıçan), altısı 1 Nisan 2021'den 10 Eylül 2023'e kadar Google Play'de mevcut olan 12 kötü amaçlı uygulamada bulundu.
Şimdi Google Play'den kaldırılmış ancak üçüncü taraf uygulama mağazalarında mevcut kalan kötü amaçlı uygulamalar mesajlaşma veya haber uygulamaları olarak gizlenmiştir.
Uygulamaları yükleyenler Vajraspy ile enfekte oldu, kötü amaçlı yazılımların kişiler ve mesajlar da dahil olmak üzere kişisel verileri çalmasına ve verilen izinlere bağlı olarak telefon görüşmelerini kaydetmesine izin verdi.
Kampanyayı ortaya çıkaran ESET araştırmacıları, operatörlerinin en azından 2015'in sonlarından beri aktif olan ve öncelikle Pakistan'daki kullanıcıları hedefleyen Patchwork APT Grubu olduğunu bildiriyor.
2022'de, tehdit oyuncusu, o sırada kullandıkları bir araç olan 'Ragnatela' sıçanıyla yanlışlıkla altyapılarını kazara bulaştıklarında kendi kampanyalarının detaylarını istemeden açıkladı. Bu yanlış adım, Malwarebebytes'e patchwork operasyonlarına bir pencere sağladı.
Vajraspy ile ESET'in patchwork olarak tanımladığı aktivite kümesi arasındaki bağlantı ilk olarak 2022'de Qianxin tarafından kuruldu (APT-Q-43'e atfedildi), ardından Mart 2023'te Meta ve Kasım 2023'te Qihoo 360 (Apt-c-'ye atfediliyor ( 52).
ESET araştırmacısı Lukas Stefanko, altısı yaklaşık 1.400 kez indirildikleri Google Play'e yüklenen aynı Vajraspy sıçan kodunu içeren 12 kötü niyetli Android uygulaması buldu.
Google Play'de bulunan uygulamalar:
Google Play dışında bulunan Vajraspy uygulamalarının hepsi sahte mesajlaşma uygulamalarıdır:
Üçüncü taraf uygulama mağazaları indirme sayımlarını bildirmez, bu nedenle bunları bu platformlar aracılığıyla yükleyen kişi sayısı bilinmemektedir.
ESET'in telemetri analizi, kurbanların çoğunun Pakistan ve Hindistan'da bulunduğunu ve büyük olasılıkla sahte mesajlaşma uygulamalarını bir romantizm aldatmaca aracılığıyla kurmaya kandırıldığını göstermektedir.
Vajraspy, çoğunlukla veri hırsızlığı etrafında dönen çeşitli casusluk işlevlerini destekleyen bir casus yazılım ve sıçandır. Yetenekleri aşağıdaki gibi özetlenmiştir:
Vajraspy'nin gücü modüler doğası ve uyarlanabilirliğinde yatarken, casusluk yeteneklerinin kapsamı, enfekte olmuş bir cihazda elde ettiği izin seviyesine göre belirlenir.
ESET, kullanıcıların tanımladıkları kişiler tarafından önerilen belirsiz sohbet uygulamalarını indirmekten kaçınmaları gerektiğini tavsiye ederek, çünkü bu, cihazlara sızmak için yaygın ve uzun süredir devam eden bir taktik siber suçlulardır.
Google Play, kötü amaçlı yazılımların uygulamalarda gizlenmesini zorlaştıran yeni politikalar sunarken, tehdit aktörleri kötü amaçlı uygulamalarını platforma gizlice sokmaya devam ediyor.
Önceki saldırılar, 2 milyon kurulum toplayan Ekim adlı bir kampanya gibi bu Vajraspy casus yazılım kampanyasından çok daha iyi performans gösterdi.
Son zamanlarda, Spyloan bilgi çalan kötü amaçlı yazılımların 2023'te Google Play'den 12 milyon kez indirildiği keşfedildi.
GÜNCELLEME 2/2 -Bir Google sözcüsü BleepingComputer'a aşağıdaki yorumu gönderdi:
Uygulamalara karşı güvenlik ve gizlilik iddialarını ciddiye alıyoruz ve bir uygulamanın politikalarımızı ihlal ettiğini görürsek, uygun önlemleri alıyoruz.
Kullanıcılar, bu uygulamalar oyun dışındaki kaynaklardan geldiğinde bile, bu uygulamalar Google Play hizmetleriyle bu kötü niyetli davranışları sergilediği bilinen uygulamaların kullanıcılarını uyarabilen Google Play Protect tarafından korunur.
Grapheneos: Sık Android Otomatik Yenileme Blok Ürün Yazılımı İstismarları
Google Play'e 330K kez yüklü yeni Xamalicious Android kötü amaçlı yazılım
Google Play'de Spyloan Android Kötü Yazılım 12 milyon kez indirildi
7 OEM'leri Etkiler Android Yerel Yükseklik Kususu İçin Serbest Yayınlanan İstismar
Google Pixel Telefonları Ocak 2024 Sistem Güncellemesinden Sonra Kullanılamaz
Kaynak: Bleeping Computer