VajraSpy : un trojan ad accesso remoto (RAT).
VajraSpy
ESET ha scoperto dodici applicazioni per Android infette da un codice maligno chiamato VajraSpy, un trojan ad accesso remoto (RAT) utilizzato per lo spionaggio mirato dal gruppo Patchwork APT. Sei di queste applicazioni sono state individuate su Google Play, mentre le altre sei sono state trovate su VirusTotal.
Queste applicazioni, mascherate da strumenti di messaggistica o di notizie, in realtà eseguono in background il codice dannoso VajraSpy, che ruba una vasta gamma di dati sensibili, tra cui contatti, file, registri delle chiamate, messaggi SMS e, in alcuni casi, anche messaggi WhatsApp e Signal. Inoltre, possono registrare chiamate e scattare foto tramite la fotocamera del dispositivo.
La campagna APT Patchwork, dietro questa minaccia, sembra concentrarsi principalmente sugli utenti in Pakistan, utilizzando app troianizzate che condividono lo stesso certificato di sviluppo e interfaccia utente simile.
Queste applicazioni dannose sono state distribuite principalmente tramite Google Play tra aprile 2021 e marzo 2023, attirando le vittime attraverso una presunta truffa di tipo honey-trap romance. Inoltre, altre sei applicazioni sono state caricate su VirusTotal.
ESET, membro della App Defense Alliance di Google, ha prontamente segnalato Rafaqat رفاقت come dannoso, contribuendo alla sua rimozione dallo store. Le altre applicazioni dannose individuate sono state anch’esse rimosse dal Play Store.
ESET : “Il nostro impegno continuo è quello di individuare rapidamente e mitigare le minacce per proteggere gli utenti da futuri attacchi.”
Le Vittime
Sebbene i dati di telemetria di ESET abbiano registrato rilevamenti solo dalla Malesia, riteniamo che questi fossero solo incidentali e non costituissero gli obiettivi effettivi della campagna. Durante la nostra indagine, la debolezza della sicurezza operativa di una delle app ha portato all’esposizione di alcuni dati delle vittime, che ci hanno permesso di geolocalizzare 148 dispositivi compromessi in Pakistan e India. È probabile che questi siano stati i veri obiettivi degli attacchi.
Un altro indizio che punta al Pakistan è il nome dello sviluppatore utilizzato per l’elenco di Google Play dell’app Rafaqat رفاقت. Gli autori della minaccia hanno utilizzato il nome di Mohammad Rizwan, che è anche il nome di uno dei più popolari giocatori di cricket del Pakistan. Rafaqat رفاقت e molte altre di queste app troianizzate avevano anche il codice di chiamata del Paese pakistano selezionato di default nella schermata di accesso. Secondo Google Translate, رفاقت significa “amicizia” in urdu. L’urdu è una delle lingue nazionali del Pakistan.
Riteniamo che le vittime siano state avvicinate tramite una truffa romantica con trappola di miele, in cui gli operatori della campagna fingevano un interesse romantico e/o sessuale per i loro obiettivi su un’altra piattaforma, per poi convincerli a scaricare queste app troianizzate.
Attribuzione a Patchwork
Il codice dannoso eseguito dalle app è stato scoperto per la prima volta nel marzo 2022 da QiAnXin. L’hanno chiamato VajraSpy e l’hanno attribuito ad APT-Q-43. Questo gruppo APT prende di mira soprattutto entità diplomatiche e governative.
Nel marzo 2023, Meta ha pubblicato il rapporto sulle minacce avversarie del primo trimestre, che contiene le operazioni di abbattimento e le tattiche, tecniche e procedure (TTP) di vari gruppi APT. Il rapporto include l’operazione di abbattimento condotta dal gruppo APT Patchwork, che consiste in falsi account di social media, hash del malware Android e vettore di distribuzione. La sezione Indicatori di minaccia del rapporto include campioni analizzati e segnalati da QiAnXin con gli stessi domini di distribuzione.
Nel novembre 2023, Qihoo 360 ha pubblicato in modo indipendente un articolo che corrisponde alle app dannose descritte da Meta e da questo rapporto, attribuendole al malware VajraSpy gestito da Fire Demon Snake (APT-C-52), un nuovo gruppo APT.
La nostra analisi di queste app ha rivelato che tutte condividono lo stesso codice maligno e appartengono alla stessa famiglia di malware, VajraSpy. Il rapporto di Meta include informazioni più complete, che potrebbero fornire a Meta una migliore visibilità sulle campagne e anche più dati per identificare il gruppo APT. Per questo motivo, abbiamo attribuito VajraSpy al gruppo APT Patchwork.
Primo gruppo: applicazioni di messaggistica”troianizzate” con funzionalità di base
Il primo gruppo comprende tutte le applicazioni di messaggistica troianizzate che erano disponibili su Google Play, ovvero MeetMe, Privee Talk, Let’s Chat, Quick Chat, GlowChat e Chit Chat. Include anche Hello Chat, che non era disponibile su Google Play.
Tutte le applicazioni di questo gruppo forniscono funzionalità di messaggistica standard, ma prima richiedono all’utente di creare un account. La creazione di un account dipende dalla verifica del numero di telefono tramite un codice SMS una tantum: se il numero di telefono non può essere verificato, l’account non viene creato. Tuttavia, il fatto che l’account venga creato o meno è per lo più irrilevante per il malware, poiché VajraSpy funziona a prescindere. L’unica possibile utilità di far verificare il numero di telefono alla vittima potrebbe essere che gli attori della minaccia imparino il codice del paese della vittima, ma questa è solo una speculazione da parte nostra.
Queste applicazioni condividono la stessa funzionalità dannosa, essendo in grado di esfiltrare i seguenti elementi:
contatti,
messaggi SMS,
registri delle chiamate,
posizione del dispositivo,
un elenco delle app installate e
file con estensioni specifiche (.pdf, .doc, .docx, .txt, .ppt, .pptx, .xls, .xlsx, .jpg, .jpeg, .png, .mp3, .Om4a, .aac e .opus).
Alcune applicazioni possono sfruttare le loro autorizzazioni per accedere alle notifiche. Se tale autorizzazione è concessa, VajraSpy può intercettare i messaggi ricevuti da qualsiasi applicazione di messaggistica, compresi gli SMS.
Gli operatori dietro gli attacchi hanno utilizzato Firebase Hosting, un servizio di hosting di contenuti Web, per il server C&C. Oltre a fungere da C&C, il server è stato utilizzato anche per memorizzare le informazioni sugli account delle vittime e per scambiare messaggi. Abbiamo segnalato il server a Google, poiché fornisce Firebase.
Gruppo due: applicazioni di messaggistica troianizzate con funzionalità avanzate
Il secondo gruppo di applicazioni include TikTalk, Nidus, YohooTalk e Wave Chat, oltre ad altri casi di malware VajraSpy menzionati in precedenti ricerche, come Crazy Talk (discusso da Meta e QiAnXin).
Queste app, simili al primo gruppo, richiedono agli utenti di creare un account e di verificare il numero di telefono tramite un codice SMS unico. Anche se il numero non viene verificato, VajraSpy continua a operare.
Tuttavia, le app di questo gruppo hanno capacità più estese rispetto al primo. Oltre a quanto visto nel primo gruppo, possono sfruttare le opzioni di accessibilità integrate per intercettare le comunicazioni su WhatsApp, WhatsApp Business e Signal. VajraSpy registra queste comunicazioni e le carica sul server C&C ospitato da Firebase.
Inoltre, possono spiare le chat e intercettare le notifiche. Le app di questo gruppo possono esfiltrare le notifiche ricevute e i messaggi scambiati su WhatsApp, WhatsApp Business e Signal.
In particolare, Wave Chat, una delle app di questo gruppo, ha funzionalità ancora più invasive. Alla prima esecuzione, richiede all’utente di autorizzare i servizi di accessibilità, che consentono l’accesso automatico a tutti i permessi necessari. Oltre alle funzionalità precedenti, Wave Chat può registrare telefonate, chiamate da WhatsApp, WhatsApp Business, Signal e Telegram, tasti premuti, scattare foto, registrare audio circostante e scannerizzare reti Wi-Fi.
Può ricevere comandi C&C per scattare foto e registrare audio, inviando i dati catturati al C&C tramite richieste POST. Utilizza un server Firebase per memorizzare i comandi e i messaggi degli utenti, mentre per altri dati esfiltrati utilizza un server C&C diverso e un client Retrofit basato su un progetto open-source per caricare i dati sul server C&C tramite HTTP.
Terzo gruppo: applicazioni non di messaggistica
Finora, l’unica applicazione che rientra in questo gruppo è quella che ha scatenato questa ricerca: Rafaqat رفاقت. Si tratta dell’unica app VajraSpy non utilizzata per la messaggistica, ma apparentemente concepita per fornire le ultime notizie. Poiché le app di notizie non richiedono autorizzazioni invasive come l’accesso ai messaggi SMS o ai registri delle chiamate, le capacità malevole di Rafaqat رفاقت sono limitate rispetto alle altre applicazioni esaminate.
Rafaqat رفاقت è stata caricata su Google Play il 26 ottobre 2022 da uno sviluppatore di nome Mohammad Rizwan, coincidente con il nome di uno dei più popolari giocatori di cricket pakistani. L’applicazione ha superato le mille installazioni prima di essere rimossa dal Google Play Store.
È degno di nota che lo stesso sviluppatore abbia inviato altre due applicazioni con lo stesso nome e codice maligno da caricare su Google Play alcune settimane prima della comparsa di Rafaqat رفاقت. Tuttavia, queste due app non sono mai state pubblicate sullo store.
Anche se l’app richiede il login con un numero di telefono al momento dell’avvio, non viene eseguita alcuna verifica del numero, consentendo all’utente di utilizzare qualsiasi numero per accedere.
Rafaqat رفاقت può intercettare le notifiche e esfiltrare contatti e file con specifiche estensioni.
I File e le App Interessate
| SHA-1 | Pacchetto | ESET – Detect | |
| BAF6583C54FC680AA6F71F3B694E71657A7A99D0 | com.hello.chat | Android/Spy.VajraSpy.B | |
| 846B83B7324DFE2B98264BAFAC24F15FD83C4115 | com.chit.chat | Android/Spy.VajraSpy.A | |
| 5CFB6CF074FF729E544A65F2BCFE50814E4E1BD8 | com.meeete.org | Android/Spy.VajraSpy.A | |
| 1B61DC3C2D2C222F92B84242F6FCB917D4BC5A61 | com.nidus.no | Android/Spy.Agent.BQH | |
| BCD639806A143BD52F0C3892FA58050E0EEEF401 | com.rafaqat.news | Android/Spy.VajraSpy.A | |
| 137BA80E443610D9D733C160CCDB9870F3792FB8 | com.tik.talk | Android/Spy.VajraSpy.A | |
| 5F860D5201F9330291F25501505EBAB18F55F8DA | com.wave.chat | Android/Spy.VajraSpy.C | |
| 3B27A62D77C5B82E7E6902632DA3A3E5EF98E743 | com.priv.talk | Android/Spy.VajraSpy.C | |
| 44E8F9D0CD935D0411B85409E146ACD10C80BF09 | com.glow.glow | Android/Spy.VajraSpy.A | |
| 94DC9311B53C5D9CC5C40CD943C83B71BD75B18A | com.letsm.chat | Android/Spy.VajraSpy.A | |
| E0D73C035966C02DF7BCE66E6CE24E016607E62E | com.nionio.org | Android/Spy.VajraSpy.C | |
| 235897BCB9C14EB159E4E74DE2BC952B3AD5B63A | com.qqc.chat | Android/Spy.VajraSpy.A | |
| 8AB01840972223B314BF3C9D9ED3389B420F717F | com.yoho.talk | Android/Spy.VajraSpy.A |