ESET odhalil rad aplikácií, ktorý používal spyware VajraSpy: Hackerská kampaň môže udrieť aj u nás
VajraSpy je špionážny malvér, ktorý má dlhú históriu a pravdepodobne vyskočí opäť.
Bezpečnostní analytici z ESETu odhalili až dvanásť špionážnych aplikácií, ktoré zdieľali rovnaký škodlivý kód. Išlo o malvér VajraSpy, ktorý používa hackerská skupina Patchwork. Experti odhalili šesť aplikácií v Obchode Play a šesť sa objavilo na VirusTotal.
Vo všetkých prípadoch, až na jeden, išlo o spyware, ktorý sa ukrýval za četovacie aplikácie. Výnimkou bola jedna podvodná spravodajská aplikácia. Na pozadí tieto aplikácie spustili malvér RAT (pozn. redakcie: Remote Access Trojan), ktorý umožnil hackerom preniknúť do smartfónu na diaľku.
VajraSpy má podľa bezpečnostných analytikov celú radu funkcionalít. Spyware toho môže zvládnuť viac, čo sa však odvíja od toho, aké povolenia užívateľ dá falošnej aplikácií. V najhorších prípadoch ale špionážny softvér dokáže ukradnúť váš zoznam kontaktov, hovorov, SMS správy a rôzne súbory. Niektoré typy spywaru ale zvládnu aj získať prístup k vašim správam vo WhatsAppe alebo aplikácii Signal, či nahrávať vaše telefonáty a vytvárať fotografie a videá pomocou fotoaparátu.
Prvú aplikáciu analytici odhalili ešte v januári minulého roku. Išlo o spravodajskú aplikáciu Rafaquat, čo sa môže voľne preložiť ako Spoločenstvo. Táto aplikácia kradla dáta svojich obetí. Výskumníci neskôr objavili ďalšie aplikácie, ktoré používali rovnaký špionážny kód ako Rafaquat. V niektorých prípadoch rôzne aplikácie zdieľali rovnaký certifikát a užívateľské rozhranie. Postupne vedci odhalili až 12 aplikácií s rovnakým spyware kódom.
Aplikácie sú veľmi podobné. Ako sme spomenuli na začiatku, až na jeden prípad ide o falošné četovacie aplikácie. Zároveň majú rovnaký malvér VajraSpy, ktorý umožňuje hackerom útočiť rovnakým spôsobom, cez RAT trójskeho koňa.
Neprehliadnite
Špionážne aplikácie s rovnakým modus operandi
MeetMe a Chit Chat sú dve aplikácie, ktoré zdieľajú rovnakú prihlasovaciu obrazovku. Chit Chat a Hello Chat dokonca v Obchode Play publikoval rovnaký vývojár. Ani jedna z podvodných aplikácií už nie je dostupná v Obchode Play. Škodlivé aplikácie boli stiahnuté viac ako 1,4-tisíc krát, uvádza ESET.
ESET predpokladá, že väčšina obetí bola oklamaná romantickým podvodom. Ten prebieha tak, že vás osloví cudzí človek na legitímnej platforme, napríklad na Facebooku alebo WhatsAppe a začne s vami komunikovať. Spravidla ide o osobu opačného pohlavia, ktorá o vás prejaví romantický alebo intímny záujem. Keď majú útočníci obeť “namotanú”, pozvú ju na inú aplikáciu, ktorá je podľa ich slov bezpečnejšia. Obeť s vidinou romantického vzťahu sťahuje do zariadenia aplikáciu s malvérom.
Mimo podvodných četovacích aplikácií má VajraSpy ešte dlhšiu históriu. Po prvýkrát tento škodlivý kód použila hackerská skupina APT-Q-43. Tá však spravidla cieli na diplomatické a vládne osobnosti. Až od roku 2023 sa začali objavovať podvodné aplikácie, za ktorými s najväčšou pravdepodobnosťou stojí hackerská skupina Patchwork.
VajraSpy je špionážny malvér, ktorý má dlhú históriu. Hoci sa nedávne útoky odohrali ďaleko od nás, ESET nevylučuje, že sa môžu objaviť aj ďalšie vlny útokov v rôznych kútoch sveta. Upozorňujeme, aby ste boli opatrní, ak sa vám na sociálnych sieťach prihovorí niekto, koho nepoznáte. Okrem nahovárania na stiahnutie podvodnej aplikácie môžu útočníci pýtať aj peniaze. Tento typ romantických podvodov sa začal objavovať aj na Slovensku. Spravidla ide o amerického vojaka, námorníka alebo dokonca ukrajinského prezidenta Zelenského. Vo všetkých prípadoch obetiam sľubovali lásku a spoločný život, no potrebovali najskôr nejaké korunky.
Komentáre