Pesquisadores da ESET identificam a presença do Trojan de Acesso Remoto (RAT) conhecido como VajraSpy em 12 aplicativos Android, seis dos quais estiveram disponíveis na Google Play Store de 1º de abril de 2021 a 10 de setembro de 2023. Apesar de removidos do Google Play, esses aplicativos maliciosos persistem em lojas de terceiros, apresentando uma ameaça grave à privacidade dos usuários.
Os aplicativos maliciosos, camuflados como ferramentas inofensivas de mensagens ou notícias, foram responsáveis por infectar aqueles que os instalaram com o VajraSpy. A lista inclui aplicativos como “Rafaqat رفاقت,” “Privee Talk,” “MeetMe,” “Let’s Chat,” “Quick Chat,” e “Chit Chat,” que estiveram temporariamente disponíveis na Google Play. Além disso, outros seis aplicativos, como “Hello Chat,” “YohooTalk,” “TikTalk,” “Nidus,” “GlowChat,” e “Wave Chat,” permanecem fora da loja oficial, escondendo-se em lojas de aplicativos de terceiros.
A atuação do VajraSpy
O VajraSpy, classificado como um spyware e RAT, tem a capacidade de roubar dados pessoais, incluindo contatos e mensagens. Dependendo das permissões concedidas, o malware pode até gravar chamadas telefônicas, transformando o dispositivo infectado em uma ferramenta de vigilância. Sua natureza modular e adaptabilidade confere ao VajraSpy um poder significativo, com capacidades que incluem a interceptação de mensagens de aplicativos criptografados, ativação da câmera para vigilância, interceptação de notificações em tempo real, e exfiltração de diversos tipos de arquivos.
Identificação dos responsáveis
O Bleeping Computer mostra que os pesquisadores da ESET descobriram que os operadores por trás dessa campanha são o grupo Patchwork APT, ativo desde pelo menos 2015 e focado principalmente no Paquistão. A identificação desses atores foi possível através de uma série de análises conduzidas por diferentes empresas de segurança cibernética, destacando a colaboração e o compartilhamento de informações nesse cenário.
A ligação entre o VajraSpy e o cluster de atividades conhecido como Patchwork foi primeiramente estabelecida por QiAnXin em 2022, seguido por Meta em março de 2023, e Qihoo 360 em novembro de 2023. Essa colaboração entre entidades de segurança ressalta a importância da partilha de informações para combater ameaças cibernéticas.
Vítimas e método de infiltração
A análise de telemetria da ESET revela que a maioria das vítimas está localizada no Paquistão e na Índia, sugerindo que os usuários são provavelmente enganados por meio de golpes românticos para instalar aplicativos de mensagens falsos. Este método de infiltração, embora antigo, continua eficaz, evidenciando a necessidade de conscientização dos usuários.
Diante desse cenário, a ESET aconselha os usuários a evitarem o download de aplicativos de bate-papo de fontes obscuras, especialmente quando recomendados por desconhecidos. Essa tática comum de cibercriminosos para se infiltrar em dispositivos destaca a importância da vigilância constante por parte dos usuários.
Desafios no Google Play
Embora o Google Play tenha introduzido novas políticas para dificultar a ocultação de malware em aplicativos, a persistência de agentes de ameaças continua a representar um desafio significativo. A capacidade de inserir aplicativos maliciosos na plataforma, mesmo após atualizações de segurança, destaca a necessidade contínua de aprimoramento das medidas de proteção.
É importante contextualizar a atual campanha de VajraSpy em relação a ataques anteriores. Enquanto essa campanha teve um desempenho significativo, é essencial mencionar campanhas passadas, como a de adware em outubro, que acumulou 2 milhões de instalações. A rápida evolução das ameaças digitais destaca a importância de manter sistemas e softwares atualizados.
