La firma de ciberseguridad eslovaca ESET ha descubierto que el actor de amenazas conocido como Patchwork probablemente utilizó señuelos de fraude amoroso para atrapar a sus víctimas en Pakistán e India, infectando sus dispositivos Android con un troyano de acceso remoto llamado VajraSpy.
Según ESET, Patchwork utilizó 12 aplicaciones de espionaje, de las cuales seis estuvieron disponibles para su descarga en la tienda oficial de Google Play. Entre abril de 2021 y marzo de 2023, esas aplicaciones obtuvieron más de 1,400 descargas.
«VajraSpy tiene una serie de funciones de espionaje que se pueden ampliar en función de los permisos otorgados a la aplicación empaquetada con su código», afirma el investigador de seguridad Lukáš Štefanko. «Roba contactos, archivos, registros de llamadas y mensajes SMS, pero algunas de sus implementaciones incluso pueden extraer mensajes de WhatsApp y Signal, grabar llamadas telefónicas y tomar fotografías con la cámara».
ESET estima que hasta 148 dispositivos en Pakistán e India han sido comprometidos en la vida real. Las aplicaciónes maliciosas distribuidas a través de Google Play y otros medios se disfrazaban principalmente de aplicaciones de mensajería, siendo las más recientes propagadas en septiembre de 2023.
Rafaqat es la única aplicación que no es una aplicación de mensajería y se anunció como una forma de acceder a las últimas noticias. Entre las aplicaciones se encuentran Privee Talk, MeetMe, Let’s Chat, Quick Chat, Chit Chat, YohooTalk, TikTalk, Hello Chat, Nidus, GlowChat y Wave Chat.
El vector de distribución exacto del malware utilizado por Patchwork no está claro en este momento. Sin embargo, la naturaleza de las aplicaciones sugiere que los objetivos fueron engañados para descargarlas como parte de un fraude amoroso, en el que los perpetradores los convencen de instalar estas falsas aplicaciones bajo el pretexto de tener una conversación más segura.
Patchwork ha utilizado previamente este método de engaño. En marzo de 2023, Meta reveló que el grupo creó personajes ficticios en Facebook e Instagram para compartir enlaces a aplicaciones maliciosas y atacar a las víctimas en Pakistán, India, Bangladesh, Sri Lanka, Tíbet y China.
Este no es el primer uso de VajraRAT por parte de Patchwork, ya ha sido documentado por la empresa china de ciberseguridad QiAnXin a principios de 2022, usado en una campaña dirigida a entidades gubernamentales y militares paquistaníes. El nombre de Vajra proviene de la palabra sánscrita para «rayo«.
Además de Pakistán e India, se cree que las entidades gubernamentales nepalíes también habrían sido atacadas a través de una campaña de phishing que entrega una puerta trasera basada en Nim. Ha sido atribuido al grupo SideWinder, otro equipo que ha sido señalado como operando con intereses indios en mente.
Estos eventos tienen lugar en un momento en el que actores de amenazas con motivación financiera de Pakistán e India están dirigidos a usuarios indios de Android con una aplicación fraudulenta de préstamos (Moneyfine o «com.moneyfine.fine») como parte de una extorsión.
En resumen, Patchwork utilizó señuelos de fraude amoroso para infectar dispositivos Android en Pakistán e India con VajraSpy a través de aplicaciones maliciosas disfrazadas de aplicaciones de mensajería y de noticias. Además de las aplicaciones distribuidas a través de Google Play y otros medios, una aplicación de noticias llamada Rafaqat también fue utilizada. El vector de distribución exacto no está claro, pero la naturaleza de las aplicaciones sugiere que los objetivos fueron engañados para descargarlas como parte de un fraude amoroso. Patchwork ha utilizado previamente este método de engaño y VajraRAT ha sido utilizado en campañas destinadas a entidades gubernamentales y militares. Otros grupos, como SideWinder, también han sido implicados en ataques similares en Nepal.
Vía: The Hacker News
