I ricercatori di ESET hanno individuato VajraSpy in 12 app Android, sei delle quali erano state pubblicate sul Play Store. Google ha rimosso le app, ma sono ancora disponibili su store di terze parti, mascherate come app di news e messaggistica. Il malware viene sfruttato dal gruppo Patchwork per attività di spionaggio.
Furto di dati sensibili dallo smartphone
La prima app, denominata Rafaqat, era stata scoperta a gennaio 2023. Successivamente sono state individuate altre app con lo stesso codice infetto e la stessa interfaccia utente. Le sei app distribuite tramite Play Store, scaricate oltre 1.400 volte, erano Rafaqat, Privee Talk, MeetMe, Let’s Chat, Quick Chat e Chit Chat. La prima era un’app di news, mentre le altre erano app di messaggistica.
Le rimanenti sei app (tutte di messaggistica e ancora disponibili su store alternativi) sono Hello Chat, YohooTalk, TikTalk, Nidus, GlowChat e Wave Chat. Le vittime, che si trovano principalmente in Asia, sono state ingannate tramite truffe romantiche. In pratica sono state “adescate” online (probabilmente sui social) e convinte ad installare le app.
VajraSpy offre funzionalità di spyware e RAT (Remote Access Trojan), quindi può rubare contatti, email, SMS, file con specifiche estensioni e cronologia delle chiamate. Può inoltre registrare telefonate e audio ambientale, intercettare i messaggi di WhatsApp, Signal e Telegram, scattare foto ed effettuare la scansione della rete WiFi.
Il malware è modulare e le funzionalità di spionaggio dipendono dal livello di permessi che riesce ad ottenere. Gli utenti non devono mai scaricare app sconosciute. Google consiglia di attivare Play Protect per rilevare app infette (anche quelle scaricate da store alternativi).