App per Chat sul Google Play nascondono un trojan RAT Android

Una ricerca ESET ha scoperto una nuova campagna di cyber spionaggio molto probabilmente afferente al gruppo APT Patchwork che ha sfruttato Google Play e app store di terze parti per distribuire un totale di 12 app malevoli contenenti il codice malware del RAT VajraSpy in bundle.

VajraSpy

VajraSpy è un trojan Android personalizzabile solitamente mascherato da applicazione di messaggistica, utilizzato per esfiltrare i dati degli utenti ed ha una gamma di funzionalità di spionaggio: Ruba contatti, file, registri delle chiamate e messaggi SMS, estrae messaggi WhatsApp e Signal, registra telefonate e scatta foto con la fotocamera.

Le 12 applicazioni Android

Il ricercatore ESET Lukas Stefanko ha trovato 12 applicazioni Android dannose contenenti lo stesso codice RAT di VajraSpy, sei delle quali sono state caricate su Google Play, contando circa 1.400 installazioni:

  • Rafaqat رفاقت
  • Privee Talk
  • MeetMe
  • Let’s Chat
  • Quick Chat
  • Chit Chat

Le altre sei sono state trovate su app store di terze parti:

  • Hello Chat
  • YohooTalk
  • TikTalk
  • Nidus
  • GlowChat
  • Wave Chat

HelloChat, MeetMe e ChitChat (Fonte ESET)
Cronologia temporale delle rilevazioni (Fonte ESET)

L’attribuzione Patchwork

L’analisi ESET ha rilevato che queste app condividono tutte lo stesso codice dannoso appartenente alla stessa famiglia di malware VajraSpy, scoperta per la prima volta da QiAnXin nel 2022 (che l’ha attribuita ad APT-Q-43), da Meta nel marzo 2023 e Qihoo 360 nel novembre 2023 (che l’ha attribuita ad APT-C-52), collegandola però al gruppo APT Patchwork.

Attenzione alle truffe romantiche

Per attirare le vittime, gli autori delle minacce probabilmente hanno utilizzato truffe romantiche mirate, inizialmente contattando le vittime su un’altra piattaforma e poi convincendole a passare a un’applicazione di chat infettata da trojan.“, commenta Lukas Stefanko, pertanto consiglia in generale di prestare attenzione agli attacchi di ingneria sociale, un’arma sempre potente nelle mani dei criminali informatici.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.