Złośliwe oprogramowanie VajraSpy atakuje urządzenia mobilne z systemem Android

VajraSpy to trojan zdalnego dostępu (RAT) zaprojektowany specjalnie do ukierunkowanego szpiegostwa na urządzeniach z systemem Android. To złośliwe oprogramowanie posiada szeroki zakres funkcji, w tym kradzież danych, nagrywanie rozmów, przechwytywanie wiadomości i robienie zdjęć za pomocą aparatu urządzenia. Wdrożenie VajraSpy obejmuje pozornie nieszkodliwe aplikacje.

Zakres możliwości VajraSpy na zainfekowanym urządzeniu zależy od zainstalowanej trojanizowanej aplikacji i przyznanych jej uprawnień. Pierwszy zestaw zawiera sześć trojanizowanych aplikacji do przesyłania wiadomości: MeetMe, Privee Talk, Let's Chat, Quick Chat, GlowChat i Chit Chat, a także Hello Chat.

VajraSpy rozprzestrzenia się poprzez zainfekowane aplikacje Google Play

Aplikacje te, pierwotnie odkryte w Google Play, udają narzędzia do przesyłania wiadomości i zachęcają użytkowników do tworzenia kont, często poprzez weryfikację numeru telefonu. Oferując zwykłe funkcje przesyłania wiadomości, dyskretnie wyodrębniają także różne typy danych, takie jak kontakty, wiadomości SMS, dzienniki połączeń, lokalizację urządzenia, zainstalowane aplikacje i określone formaty plików.

Druga grupa to TikTalk, Nidus, YohooTalk i Wave Chat, posiadające bardziej zaawansowane możliwości niż pierwsza grupa. Podobnie jak ich odpowiedniki, aplikacje te zachęcają użytkowników do tworzenia kont i weryfikowania numerów telefonów.

Jednak idą dalej, wykorzystując opcje ułatwień dostępu do przechwytywania komunikacji z aplikacji do przesyłania wiadomości, takich jak WhatsApp, WhatsApp Business i Signal. Dodatkowo mogą szpiegować komunikację na czacie, przechwytywać powiadomienia, nagrywać rozmowy telefoniczne, przechwytywać naciśnięcia klawiszy, a nawet robić zdjęcia za pomocą aparatu urządzenia.

Trzecia grupa to unikalna aplikacja o nazwie Rafaqat, wyróżniająca się funkcjonalnością niezwiązaną z przesyłaniem wiadomości. W przeciwieństwie do komunikatorów z dwóch pierwszych grup, Rafaqat prezentuje się jako aplikacja z wiadomościami. Chociaż ma ograniczone możliwości szkodliwego działania w porównaniu do odpowiedników do przesyłania wiadomości, może przechwytywać powiadomienia i potajemnie wyodrębniać kontakty i pliki z określonymi rozszerzeniami.

Zagrożenia infekcją VajraSpy

Konsekwencje zainfekowania urządzenia VajraSpy mogą być poważne. Użytkownicy mogą doświadczyć naruszeń prywatności, ponieważ złośliwe oprogramowanie w ukryciu zbiera poufne informacje, w tym kontakty, dzienniki połączeń i wiadomości. Ponadto przechwytywanie powiadomień i potencjalny dostęp do aplikacji takich jak WhatsApp i Signal zwiększają ryzyko naruszenia bezpieczeństwa komunikacji osobistej.

Co więcej, możliwość robienia zdjęć za pomocą aparatu urządzenia i nagrywania rozmów telefonicznych wprowadza dodatkową warstwę inwazji, która może prowadzić do nieuprawnionego nadzoru i niewłaściwego wykorzystania przechwyconej zawartości. Ogólny wpływ wykracza poza obawy dotyczące prywatności i obejmuje możliwość kradzieży tożsamości, strat finansowych i narażenia na inne złośliwe działania organizowane przez podmioty zagrażające.