برنامههای اشاره شده در این گزارش کد تروجان دسترسی از راه دور(RAT) معروف به VajraSpy را اجرا میکنند.
محققان ESET نام چندین اپلیکیشن اندرویدی را اعلام کردهاند که میتوانند فعالیت کاربران را زیرنظر داشته باشند. شش مورد از این اپها در گوگلپلی در دسترس بوده است و سایر آنها در VirusTotal حضور دارند. همچنین 11مورد از آنها شبیه پیامرسانهای قانونی هستند و یک مورد به عنوان برنامه خبری معرفی شده است.
براساس گزارش ESET، این برنامهها کد تروجان دسترسی از راه دور (RAT) معروف به VajraSpy را اجرا میکنند و بخشی از یک کمپین Patchwork APT هستند. عملکرد اصلی آنها جاسوسی از افراد است و این کار را براساس مجوزهایی که به اپلیکیشنها داده میشود، انجام میدهد.
این اپلیکیشنها میتوانند مخاطبین، فایلها، تاریخچه تماسی و پیامهای متنی کاربران را سرقت کنند. برخی از آنها حتی میتوانند به چتهای واتساپ و سیگنال دسترسی داشته باشند، تماسهای تلفنی را ضبط کرده و نوتیفیکیشنها را رهگیری کنند. همچنین میتوانند موقعیتهای دستگاه و نام برنامههای نصبشده را به مراکز فرماندهی و کنترل خود ارسال کنند.
به گفته ESET، آزاردهندهترین قابلیت آنها احتمالاً این است که میتوانند از قربانیان خود عکس بگیرند و صدای اطراف را ضبط کنند. نکته قابلتوجه اینکه برنامهها عمدتاً کاربران پاکستانی و هندی را هدف خود قرار میدهند و آنهایی که در گوگل پلی حضور دارند، فقط 1400 بار دانلود شدهاند.
اپلیکیشنهای اندروید دارای تروجان
نام برنامههایی که در گوگل پلی حضور دارند به شرح زیر است:
- Rafaqat
- Privee Talk
- MeetMe
- Let’s Chat
- Quick Chat
- Chit Chat
هرچند برنامههای مذکور اکنون از گوگل پلی حذف شدهاند، اما اگر آنها را روی گوشی خود نصب دارید، بهتر است حذفشان کنید.
اپلیکیشنهای VirusTotal نیز شامل موارد زیر هستند:
- YohooTalk
- TikTalk
- Hello Cha
- Nidus
- GlowChat
- Wave Chat
این اپها در ظاهر شبیه برنامههای پیامرسان استاندارد هستند و از کاربر میخواهند تا با استفاده از شماره تلفن خود یک حساب کاربری ایجاد کنند. نکته قابلتوجه اینکه حتی اگر فرایند ایجاد حساب موفقیتآمیز نباشد، آنها همچنان در پسزمینه گوشی شما اجرا میشوند.