Studiuesit e ESET vunë re VajraSpy në 12 aplikacione Android, gjashtë prej të cilave u publikuan në Play Store. Google i ka hequr aplikacionet, por ato janë ende të disponueshme në dyqanet e palëve të treta, të maskuara si aplikacione lajmesh dhe mesazhesh. Malware është shfrytëzuar nga grupi Patchwork për aktivitete spiunazhi.
Vjedhja e të dhënave të ndjeshme nga smartphone
Aplikacioni i parë, i quajtur Rafaqat, u zbulua në janar 2023. Më pas u gjetën aplikacione të tjera me të njëjtin kod të infektuar dhe ndërfaqe përdoruesi. Gjashtë aplikacionet e shpërndara përmes Play Store, të shkarkuar mbi 1400 herë, ishin Rafaqat, Privee Talk, MeetMe, Let’s Chat, Quick Chat dhe Chit Chat. I pari ishte një aplikacion lajmesh, ndërsa të tjerët ishin aplikacione për mesazhe.
Gjashtë aplikacionet e mbetura (të gjitha mesazhet dhe ende të disponueshme në dyqanet alternative) janë Hello Chat, YohooTalk, TikTalk, Nidus, GlowChat dhe Wave Chat. Viktimat, të cilët ndodhen kryesisht në Azi, janë mashtruar përmes mashtrimeve romantike. Në praktikë, ata u “joshën” në internet (ndoshta në mediat sociale) dhe u bindën të instalonin aplikacionet.
VajraSpy ofron funksionalitet spyware dhe RAT (Remote Access Trojan), kështu që mund të vjedhë kontakte, email, SMS, skedarë me shtesa specifike dhe histori të thirrjeve. Mund të regjistrojë gjithashtu thirrje telefonike dhe audio të ambientit, të përgjojë mesazhet WhatsApp, Sinjali dhe Telegram, të bëjë fotografi dhe të skanojë rrjetin WiFi.
Malware është modular dhe aftësitë e spiunimit varen nga niveli i lejeve që arrin të marrë. Përdoruesit nuk duhet të shkarkojnë kurrë aplikacione të panjohura. Google rekomandon aktivizimin e Play Protect për të zbuluar aplikacionet e infektuara (madje edhe ato të shkarkuara nga dyqanet alternative).
Discussion about this post