Patchwork Utilizza Truffe Romantiche per Diffondere VajraSpy Malware in Dispositivi Android in Pakistan e India
Il gruppo di minacce noto come Patchwork sembra aver sfruttato truffe romantiche per intrappolare vittime in Pakistan e India, diffondendo il trojan di accesso remoto chiamato VajraSpy sui loro dispositivi Android.
La società di sicurezza informatica slovacca ESET ha rivelato la scoperta di 12 app di spionaggio, di cui sei erano disponibili sul Google Play Store ufficiale e hanno totalizzato oltre 1.400 download tra aprile 2021 e marzo 2023.
Secondo il ricercatore di sicurezza Lukáš Štefanko, VajraSpy presenta varie funzionalità di spionaggio, tra cui il furto di contatti, file, registri delle chiamate e messaggi SMS. Alcune implementazioni possono addirittura estrarre messaggi da WhatsApp e Signal, registrare chiamate telefoniche e scattare foto con la fotocamera.
Si stima che fino a 148 dispositivi in Pakistan e India siano stati compromessi da queste app maligne, distribuite principalmente attraverso Google Play e altre fonti. Le app si presentavano principalmente come applicazioni di messaggistica, e nomi come “Privee Talk,” “MeetMe,” e “Let’s Chat” facevano parte di questo elenco.
Un’app notevole, “Rafaqat رفاق,” si presentava come un’app per accedere alle ultime notizie, caricata da uno sviluppatore di nome Mohammad Rizwan. Quest’app ha raggiunto 1.000 download prima di essere rimossa da Google.
Il vettore esatto di distribuzione del malware non è chiaro, ma la natura delle app suggerisce che i bersagli siano stati ingannati attraverso truffe romantiche, convincendoli a installare queste app fasulle con la promessa di una conversazione più sicura.
Patchwork, con presunti legami con l’India, ha già utilizzato questa tecnica in passato. Nel marzo 2023, Meta ha rivelato che il gruppo ha creato false identità su Facebook e Instagram per condividere link a false app, mirando a vittime in diverse regioni.
Qihoo 360, in un’analisi del malware nel novembre 2023, lo ha collegato a un attore minaccioso noto come Fire Demon Snake (o APT-C-52). Oltre a Pakistan e India, anche entità governative nepalesi sono state presumibilmente bersagliate attraverso una campagna di phishing attribuita al gruppo SideWinder.
Questo scenario si verifica mentre attori a scopo di lucro da Pakistan e India mirano agli utenti Android indiani con un’app di prestito fasulla, parte di una truffa di estorsione che sfrutta il processo KYC per minacciare le vittime con la diffusione di foto manipolate.
La tendenza più ampia vede persone cadere vittime di app di prestito predatorie, note per raccogliere informazioni sensibili e utilizzare tattiche di ricatto. I teenager di Australia, Canada e Stati Uniti sono sempre più bersagliati da attacchi di estorsione finanziaria condotti dal gruppo cibercriminale nigeriano Yahoo Boys, secondo il Network Contagion Research Institute (NCRI).