Kiberbűnözők romantikus csalásokat vetnek be Android-eszközök megfertőzésére.
A Patchwork nevű hackercsoport romantikus csalásokat használ ki, hogy Android eszközöket fertőzzön meg a VajraSpy nevű távoli hozzáférési trójai vírussal. A szlovák ESET kiberbiztonsági cég 12 kémprogramot fedezett fel, amelyek közül 6 a Google Play Áruházból volt letölthető. Ezeket 2021 áprilisa és 2023 márciusa között összesen több mint 1400 alkalommal töltötték le.
A VajraSpy számos kémkedési funkcióval rendelkezik:
- Ellopja a névjegyeket, fájlokat, hívásnaplókat és SMS-üzeneteket.
- Egyes verziók a WhatsApp és Signal üzeneteket is kinyerhetik, telefonhívásokat rögzíthetnek és a kamerával képeket készíthetnek.
A Google Playen terjesztett rosszindulatú alkalmazások üzenetküldő alkalmazásoknak álcázták magukat:
- Privee Talk
- MeetMe
- Let’s Chat
- Quick Chat
- Rafaqat رفاق
- Chit Chat
- YohooTalk
- TikTalk
- Hello Chat
- Nidus
- GlowChat
- Wave Chat
A Rafaqat رفاق az egyetlen kivétel, amelyet nem üzenetküldőként, hanem friss hírek forrásaként hirdettek.
A kártevő terjesztési módja nem tisztázott, de valószínűleg romantikus átverésekhez kapcsolódik:
- Az elkövetők biztonságosabb beszélgetés ígéretével ráveszik az áldozatot a káros alkalmazások telepítésére.
Ez nem az első eset, hogy a Patchwork ezt a technikát alkalmazza:
- 2023 márciusában a Meta leleplezte, hogy a csoport hamis Facebook- és Instagram-profilokat hozott létre a hamis alkalmazások terjesztésére.
A VajraSpy malware-t sem először észlelték:
- 2022 elején a kínai QiAnXin cég dokumentálta a VajraRAT bevetését egy pakisztáni kormányzati és katonai szervezetek ellen irányuló kampányban.
Egy másik esetben pakisztáni és indiai csoportok zsarolási átveréshez használtak hamis „gyors kölcsön” alkalmazást:
- A Moneyfine alkalmazás regisztráció során feltöltött szelfit manipulálta meztelen képpé, és ezzel zsarolták az áldozatokat.
A Network Contagion Research Institute (NCRI) jelentése szerint az ausztrál, kanadai és amerikai tinédzserek egyre gyakrabban válnak a nigériai Yahoo Boys csoport célpontjává:
- A csoport angolul beszélő kiskorúakat és fiatal felnőtteket céloz meg az Instagramon, a Snapchaten és a Wizz-en (amelyet azóta eltávolítottak az App Store-ból és a Play Áruházból).
Valentin nap közeledtével várhatóan megszaporodnak a „romantikus csalás” révén elkövetett csalási kísérletek.
Tippek a megfertőződés elkerülésére:
- Csak megbízható forrásból telepítsen alkalmazásokat.
- Olvassa el az alkalmazások értékelését és véleményét.
- Figyeljen az alkalmazások által kért engedélyekre.
- Telepítsen megbízható vírusirtót.
- Legyen óvatos a romantikus online kapcsolatokkal.
Ha úgy gondolja, hogy megfertőzte a VajraSpy:
- Távolítsa el a fertőzött alkalmazást.
- Változtassa meg a jelszavait.