Інфіковані VajraSpy додатки для Android можуть перехоплювати повідомлення WhatsApp та Signal

Компанія Eset виявила 12 шпигунських програм для Android, шість з яких були доступні в Google Play. Більшість з них поширювалися під виглядом месенджерів. Окрім одного, який маскувався під додаток для читання новин. Зловмисники, ймовірно, використовували шахрайські методи для встановлення жертвою шкідливого програмного забезпечення.

У фоновому режимі ці програми приховано виконують код трояна віддаленого доступу (RAT) під назвою VajraSpy, який використовується APT-групою Patchwork для цілеспрямованого шпигунства. VajraSpy має низку шпигунських функцій, які можна розширити за допомогою дозволів, наданих додатку разом з його кодом. Загроза викрадає контакти, файли, журнали викликів та SMS-повідомлення, а в деяких випадках може навіть перехоплювати повідомлення WhatsApp та Signal, записувати телефонні дзвінки та робити фотографії за допомогою камери.

Щоб заманити своїх жертв, зловмисники, ймовірно, використовували цілеспрямоване шахрайство на романтичну тематику, спочатку зв’язуючись із жертвами на іншій платформі, а потім переконували їх перейти на шкідливу програму для спілкування. Варто зазначити, що серед шкідливих програм були Privee Talk, MeetMe, Let’s Chat, Quick Chat, Rafaqat, Chit Chat, YohooTalk, TikTalk, Hello Chat, Nidus, GlowChat та Wave Chat.