Исследователи ESET обнаружили несколько приложений для Android, содержащих VajraSpy RAT, используемый APT-группой Patchwork.
- ESET обнаружили новую кибершпионскую кампанию, которую с высокой степенью уверенности приписывают APT-группе Patchwork.
- Кампания использовала Google Play для распространения шести вредоносных приложений с кодом VajraSpy RAT; еще шесть были распространены в дикой природе.
- Приложения в Google Play достигли более 1 400 установок и по-прежнему доступны в альтернативных магазинах приложений.
- Слабая операционная безопасность одного из приложений позволила нам определить геолокацию 148 скомпрометированных устройств.
Indicators of Compromise
IPv4
- 160.20.147.67
- 34.120.160.131
- 35.186.236.207
Domains
- chatapp-6b96e-default-rtdb.firebaseio.com
- chit-chat-e9053-default-rtdb.firebaseio.com
- glowchat-33103-default-rtdb.firebaseio.com
- hello-chat-c47ad-default-rtdb.firebaseio.com
- letschat-5d5e3-default-rtdb.firebaseio.com
- meetme-abc03-default-rtdb.firebaseio.com
- privchat-6cc58-default-rtdb.firebaseio.com
- quick-chat-1d242-default-rtdb.firebaseio.com
- rafaqat-d131f-default-rtdb.asia-southeast1.firebasedatabase.app
- tiktalk-2fc98-default-rtdb.firebaseio.com
- wave-chat-e52fe-default-rtdb.firebaseio.com
- yooho-c3345-default-rtdb.firebaseio.com
SHA1
- 137ba80e443610d9d733c160ccdb9870f3792fb8
- 1b61dc3c2d2c222f92b84242f6fcb917d4bc5a61
- 235897bcb9c14eb159e4e74de2bc952b3ad5b63a
- 3b27a62d77c5b82e7e6902632da3a3e5ef98e743
- 44e8f9d0cd935d0411b85409e146acd10c80bf09
- 5cfb6cf074ff729e544a65f2bcfe50814e4e1bd8
- 5f860d5201f9330291f25501505ebab18f55f8da
- 846b83b7324dfe2b98264bafac24f15fd83c4115
- 8ab01840972223b314bf3c9d9ed3389b420f717f
- 94dc9311b53c5d9cc5c40cd943c83b71bd75b18a
- baf6583c54fc680aa6f71f3b694e71657a7a99d0
- bcd639806a143bd52f0c3892fa58050e0eeef401
- e0d73c035966c02df7bce66e6ce24e016607e62e
