近期，有安全研究人员在 12 个恶意应用程序中发现了一种名为 VajraSpy 的 Android 远程访问木马 (RAT)，其中 6 个应用程序于 2021 年 4 月 1 日至 2023 年 9 月 10 日期间在 Google Play 上提供。这些恶意应用程序现已从 Google Play 中删除，但仍可在第三方应用程序商店中找到，它们被伪装成消息或新闻应用程序。

安装这些应用程序的用户感染了 VajraSpy，允许恶意软件窃取个人数据，并根据授予的权限，记录了他们的通话记录。

发现该活动的研究人员报告称，其运营商是 Patchwork APT 组织，该组织从 2015 年底以来一直活跃，主要针对巴基斯坦用户。

2022 年，威胁分子无意中用“Ragnatela”RAT（他们当时使用的工具）感染了自己的基础设施。这一失误为 Malwarebytes 提供了了解 Patchwork 操作的窗口。

安卓间谍活动

ESET 研究人员发现了 12 个恶意 Android 应用程序，其中包含相同的 VajraSpy RAT 代码，其中 6 个应用程序上传到 Google Play，下载量约为 1400 次。第三方应用商店不报告下载量，因此通过这些平台安装它们的人数未知。

ESET 的遥测分析表明，大多数受害者位于巴基斯坦和印度，并且很可能是通过社交骗局被诱骗安装虚假消息应用程序。

12 个假冒应用程序中的两个

VajraSpy 作为一种间谍软件和 RAT，支持各种主要与数据盗窃有关的间谍功能。其功能总结如下：

·从受感染的设备收集并传输个人数据，包括联系人、通话记录和短信。

·从 WhatsApp 和 Signal 等流行的加密通信应用程序中拦截和提取消息。

·记录电话通话以窃听私人谈话。

·激活设备的摄像头拍照，将其变成监控工具。

·实时拦截来自各种应用程序的通知。

·搜索和泄露文档、图像、音频和其他类型的文件。

VajraSpy 从 WhatsApp记录数据

VajraSpy 的强大之处在于其模块化特性和适应性，而其间谍能力的程度则取决于它在受感染设备上获得的权限级别。

ESET 建议用户不要下载陌生人推荐的聊天应用程序，因为这是网络犯罪分子渗透设备的常见策略。

尽管 Google Play 推出了新政策，使恶意软件更难隐藏在应用程序中，但威胁分子仍继续将其恶意应用程序设置于该平台上。人们发现 SpyLoan 信息窃取恶意软件在 2023 年从 Google Play 下载了 1200 万次。

关注两会，聚焦网络安全！点击下方“阅读原文”进入专题报道。

参考及来源：https://www.bleepingcomputer.com/news/security/more-android-apps-riddled-with-malware-spotted-on-google-play/