دوازده برنامه مخرب جاسوسی اندروید توسط محققان کشف شده است که همه آنها یک کد تروجان دسترسی از راه دور (RAT) معروف به VajraSpy را اجرا می کنند.

شش مورد از آنها در فروشگاه Google Play در دسترس هستند، در حالی که شش مورد دیگر با VirusTotal کشف شدند.همه این برنامه‌ها شباهت‌های زیادی دارند، مانند پلتفرم پیام‌رسانی همراه با کد VajraSpy RAT و گواهی توسعه‌دهنده.تاریخ آپلود این برنامه ها بین آوریل 2021 و مارس 2023 بود. در بین این برنامه ها، تنها یکی از آنها به عنوان یک برنامه جدید با بقیه متفاوت بود.اولین برنامه Privee Talk بود که در 1 آوریل 2021 آپلود شد و آخرین برنامه Wave Chat بود که در سپتامبر 2023 ظاهر شد.

همه این برنامه ها در مجموع نزدیک به 1400 نصب داشتند. لیست برنامه های مخرب به شرح زیر است:

Rafaqat رفاقت
Privee talk
MeetMe
Let’s Chat
Quick Chat
Chit Chat
TikTalk
Hello Chat
YohooTalk
Nidus
GlowChat
WaveChat
Click App
Crazy Talk
بدافزار اندروید در گوگل پلی

بر اساس گزارش های به اشتراک گذاشته شده با Cyber Security News، VajraSpy یک تروجان قابل تنظیم است که می تواند برای استخراج داده های کاربران استفاده شود که از نام کلاس های یکسان در همه برنامه های مخرب استفاده می کند.

علاوه بر این، همه برنامه‌های کاربردی مشاهده‌شده کلاس‌های کارگری مشابهی را برای استخراج داده‌ها به اشتراک می‌گذاشتند. با این حال، برنامه های کاربردی تروجانی را می توان به سه گروه تقسیم کرد

1. برنامه های پیام رسانی تروجانیزه شده با قابلیت های اساسی
2. برنامه های پیام رسانی تروجانیزه شده با قابلیت های پیشرفته
3. برنامه های غیر پیام رسان

برنامه های پیام رسانی تروجانیزه

این گروه شامل برنامه‌های مخربی است که در Google Play در دسترس بودند، مانند MeetMe، Privee Talk، Let’s Chat، Quick Chat، GlowChat و Chit Chat. همچنین شامل Hello Chat است که در Google Play در دسترس نبود.این گروه از برنامه ها دارای عملکرد پیام رسانی استاندارد هستند و در ابتدا نیاز به ایجاد یک حساب کاربری دارند.علاوه بر این، تأیید شماره تلفن همراه نیز با استفاده از کدهای پیامکی OTP انجام می شود. با این حال، این یک مرحله بی ربط است زیرا VajraSpy بدون توجه به موفقیت این مرحله در حال اجرا است.

علاوه بر این، حدس زده می شود که تأیید شماره تلفن توسط عوامل تهدید به عنوان ابزاری برای یادگیری کد کشور قربانی انجام شود.

همه برنامه‌های دسته‌بندی‌شده در این گروه، قادر به استخراج داده‌های زیر هستند.

• مخاطب
• پیامک ها
• گزارش تماس
• مکان دستگاه
• لیستی از برنامه های نصب شده و
• فایل‌های با پسوندهای خاص (.pdf، .doc، .docx، txt.، .ppt، .pptx، .xls، .xlsx، .jpg، .jpeg، .png، .mp3، .Om4a، .aac، و .opus ).
برنامه های پیام رسانی تروجانیزه

برنامه های پیام رسانی تروجانیزه شده با قابلیت های پیشرفته

این گروه از اپلیکیشن های TikTalk، Nidus، YohooTalk، Crazy Talk و Wave Chat تشکیل شده است. این برنامه ها قابلیت های گسترده ای مانند رهگیری واتس اپ، واتس اپ بیزینس و ارتباط سیگنال را انجام می دهند.

علاوه بر این، VajraSpy همچنین هرگونه ارتباط قابل مشاهده از این برنامه ها را در کنسول و در پایگاه داده محلی، که در سرور C&C میزبان Firebase آپلود می شود، ثبت می کند. جدای از این، این برنامه ها همچنین می توانند اعلان های دستگاه را رهگیری کنند.

یکی از برنامه های داخل گروه، Wave Chat، مشخص شد که دارای قابلیت های اضافی است، مانند:

• ضبط تماس های تلفنی،
• ضبط تماس از واتس اپ، واتس اپ بیزینس، سیگنال و تلگرام،
• فشار دادن کلید ورود به سیستم،
• با استفاده از دوربین عکس بگیرید،
• ضبط صدای اطراف و
• شبکه های Wi-Fi را اسکن کنید.

برنامه های غیر پیام رسان

همانطور که قبلا گفته شد تنها اپلیکیشن رفاقت رفاقت متعلق به این گروه است که تنها اپلیکیشن غیر چت می باشد. اگرچه این برنامه یک شماره تلفن می‌خواهد، هیچ تأییدی انجام نمی‌شود.همچنین مشخص شد که این برنامه قادر به رهگیری اعلان‌ها و حذف مخاطبین و فایل‌های با پسوندهای خاص مانند .pdf، .doc، .docx، txt.، .ppt، .pptx، .xls، .xlsx، .jpg، .jpeg، .png، .mp3، .Om4a، .aac، و .opus.

ESET گزارش داد که این برنامه ها منتشر شده اند و اطلاعات دقیقی در مورد کد منبع، تجزیه و تحلیل برنامه ها، تجزیه و تحلیل بدافزار و سایر اطلاعات ارائه می دهند.