近日,安全公司ESET發(fā)布了一份關(guān)于印度APT組織Patchwork的報告,揭示了該組織如何利用Google Play商店分發(fā)Android間諜應(yīng)用程序的驚人細(xì)節(jié)。這些應(yīng)用程序冒充合法的消息和新聞服務(wù),暗中攜帶一種新型遠(yuǎn)程訪問木馬(RAT),名為VajraSpy。
Patchwork組織因其對巴基斯坦人實施的高度針對性魚叉式網(wǎng)絡(luò)釣魚攻擊而聞名。此次,他們巧妙地利用了Google Play商店,將六種不同的Android間諜應(yīng)用程序推送給不知情的用戶。這些應(yīng)用程序表面上看起來無害,甚至可能提供一些有用的功能,但實際上,它們被設(shè)計用于竊取用戶的敏感信息。
據(jù)ESET研究人員分析,VajraSpy RAT具有強(qiáng)大的功能,能夠攔截電話、短信、文件、聯(lián)系人等。更令人震驚的是,它還能提取WhatsApp和Signal等加密消息應(yīng)用的內(nèi)容,錄制電話通話,甚至遠(yuǎn)程拍照。這些功能使得攻擊者能夠幾乎無限制地訪問受感染設(shè)備的數(shù)據(jù),對用戶的隱私構(gòu)成嚴(yán)重威脅。
報告指出,這些受RAT污染的應(yīng)用程序在Google Play商店的下載次數(shù)總計超過1400次。這意味著,至少有這么多用戶的設(shè)備可能已被Patchwork組織入侵。除了Google Play商店外,ESET團(tuán)隊還在第三方或非官方應(yīng)用程序商店中發(fā)現(xiàn)了另外六個與此類似的應(yīng)用程序。這些虛假應(yīng)用程序的名稱包括Privee Talk、MeetMe、Let’s Chat、Quick Chat、Rafagat和Faraqat等。
有證據(jù)表明,這次攻擊主要針對的是巴基斯坦用戶。例如,其中一個惡意應(yīng)用程序Rafaqat使用了巴基斯坦板球運(yùn)動員的名字作為開發(fā)者名稱,這顯然是為了吸引巴基斯坦用戶的注意。此外,一些應(yīng)用程序在創(chuàng)建帳戶時默認(rèn)選擇巴基斯坦國家代碼,進(jìn)一步證實了這一點。ESET還通過安全漏洞發(fā)現(xiàn),許多受感染的設(shè)備都位于巴基斯坦。
為了引誘受害者下載這些應(yīng)用程序,Patchwork組織采用了有針對性的蜜罐浪漫詐騙手段。他們可能首先在另一個平臺上與受害者建立聯(lián)系,然后逐漸建立信任關(guān)系。最終,他們會說服受害者切換到木馬聊天應(yīng)用程序,從而使其設(shè)備受到感染。
幸運(yùn)的是,ESET已及時向Google報告了這些應(yīng)用程序的存在。目前,這些惡意應(yīng)用程序已從Google Play商店中刪除,阻止了更多的用戶受到侵害。
然而,這一事件再次提醒我們,即使是看似安全的官方應(yīng)用商店也可能成為惡意軟件傳播的渠道。因此,用戶在下載和安裝應(yīng)用程序時應(yīng)保持警惕,仔細(xì)審查應(yīng)用程序的權(quán)限和開發(fā)者信息。同時,定期更新設(shè)備和安全軟件也是保護(hù)自己免受威脅的重要措施。
原創(chuàng)文章,作者:校草,如若轉(zhuǎn)載,請注明出處:http://m.rponds.cn/article/627785.html