与印度有关的APT黑客在新的攻击活动中色诱巴基斯坦受害者

最新研究显示，疑似印度国家资助的黑客利用爱情骗局来引诱巴基斯坦受害者安装恶意应用程序，从而用间谍恶意软件感染他们的设备。

该组织名为 Patchwork，创建了至少 12 个恶意 Android 应用程序，包括 MeetMe、Let's Chat、Quick Chat 和 Rafaqat，并通过 Google Play 和其他平台分发这些应用程序。

巴基斯坦受害者的登录屏幕

根据斯洛伐克网络安全公司 ESET 的报告（https://www.welivesecurity.com/en/eset-research/vajraspy-patchwork-espionage-apps/），这些应用程序被下载了 1,400 多次，然后被谷歌标记为恶意并删除。

一些受害者位于马来西亚和印度，但研究人员认为这些用户意外下载了这些应用程序，因为 Patchwork 很可能是针对巴基斯坦的用户。

根据网络安全公司 Malwarebytes之前的一份报告，该组织自 2015 年 12 月以来一直活跃，有通过网络钓鱼攻击巴基斯坦的历史。ESET 研究人员发现了其他指标（包括位于巴基斯坦的受害者人数），以证明该组织的最新活动也是针对巴基斯坦的。

其他研究人员还发现，ESET 称在最新活动中使用的 VajraSpy 恶意软件此前曾针对巴基斯坦军事人员部署过。VajraSpy 是一种可定制的恶意软件，通常伪装成消息应用程序，用于窃取用户数据。

在最近的攻击中，黑客使用浪漫诈骗，试图通过合法应用程序对受害者进行浪漫爱情或性引诱，然后说服他们转向恶意应用程序。

ESET 识别的所有应用程序都是通讯应用程序，除了一个伪装成新闻应用。其中一些共享相同的用户登录界面或由相同的开发人员证书签名。

这些应用程序要求用户创建一个帐户并输入电话号码以进行短信代码验证。一旦受害者的手机感染了 VajraSpy，黑客就可以窃取他们的联系人、短信、通话记录、设备位置、已安装应用程序列表以及具有特定扩展名的文件。

更先进的恶意应用程序甚至可以拦截来自其他应用程序的消息，包括 WhatsApp 和 Signal。

其中一款应用程序 Wave Chat 具有更多恶意功能。它可以记录电话，包括来自 WhatsApp、Signal 和 Telegram 的电话、记录击键、使用相机拍照、记录周围的音频以及扫描 Wi-Fi 网络。

ESET 没有具体说明巴基斯坦的黑客目标是谁，但在之前的活动中，Patchwork 攻击了备受瞩目的受害者，包括中国的大学和研究组织、巴基斯坦政府实体以及专注于分子医学和生物科学研究的个人。

参考链接：https://therecord.media/india-linked-hackers-target-pakistan-with-spyware