Android手机用户需立即删除的潜在恶意应用曝光
本周,NSO Group的Pegasus恶意软件再次引发了安全警报,这次是在约旦部署用于监视记者和活动人士。虽然这是一起备受关注的案件,导致苹果对NSO Group提起诉讼,但实际上有一系列看似无害的Android应用正在从普通人的手机中获取敏感数据。
ESET的安全专家发现了至少12款Android应用,其中大多数伪装成聊天应用,实际上在手机上植入了特洛伊木马,然后窃取通话记录、短信,远程控制摄像头,甚至从端到端加密的平台(如WhatsApp)中提取聊天详情。
涉及的应用有YohooTalk、TikTalk、Privee Talk、MeetMe、Nidus、GlowChat、Let’s Chat、Quick Chat、Rafaqat、Chit Chat、Hello Chat和Wave Chat。如果你的设备上安装了这些应用中的任何一个,请立即删除。
值得注意的是,其中六款应用曾在Google Play商店上线,这增加了用户的风险,因为用户常在此处下载应用,对Google制定的安全协议充满信心。这些应用的间谍活动的核心是一种名为Vajra Spy的远程访问木马(RAT)。
严重破坏的聊天应用
ESET的报告称:“它窃取联系人、文件、通话记录和短信,但它的一些实现甚至可以提取WhatsApp和Signal消息,录制电话,以及使用摄像头拍照。”
值得注意的是,这不是Vajra Spy第一次引起警报。在2022年,Broadcom还将其列为一种远程访问木马(RAT)变体,该变体利用Google Cloud Storage收集从Android用户中窃取的数据。这种恶意软件与威胁组织APT-Q-43有关,该组织以特定瞄准巴基斯坦军方成员而闻名。
VajraSpy的明显目标是从受感染的设备中收集信息并获取用户的数据,如短信、WhatsApp和Signal对话以及通话历史等。这些应用,其中大多数伪装成聊天应用,利用以浪漫为主题的社交工程攻击来吸引目标。
这是一个反复出现的主题,特别是考虑到这些应用的目标。在2023年,Scroll报告了跨境间谍如何利用甜言蜜语的陷阱引诱印度科学家和军事人员,通过混合浪漫和勒索的方式提取敏感信息。甚至FBI也发布了有关数字浪漫诈骗的警告,而白宫一名工作人员在一次陷阱中损失了超过50万美元。
在最近一次VajraSpy的部署中,这些应用能够提取联系人详细信息、消息、已安装应用程序列表、通话记录和不同格式的本地文件,如.pdf、.doc、.jpeg、.mp3等。那些具有高级功能的应用需要使用手机号码,但这样一来,它们也可以拦截WhatsApp和Signal等安全平台上的消息。
除了实时记录文本交流外,这些应用还可以拦截通知、录制电话、记录按键、在受害者不知情的情况下使用摄像头拍照,并接管麦克风录制音频。再次提到,这一点并不令人意外。我们最近报道了不法分子如何滥用手机上的推送通知,并将数据出售给政府机构,而安全专家告诉Digital Trends,唯一确保停止这一行为的方法是禁用应用程序的通知访问权限。