Sponsorowane przez państwo cyberprzestępcy wykorzystały trzy aplikacje na Androida w Google Play do zbierania danych wywiadowczych z docelowych urządzeń, takich jak dane o lokalizacji i listy kontaktów.

Złośliwe aplikacje na Androida zostały wykryte przez firmę Cyfirma, która ze średnim prawdopodobieństwem przypisała tę operację indyjskiej grupie hakerskiej „DoNot”, również śledzonej jako APT-C-35, która od co najmniej 2018 r. atakuje znane organizacje w Azji Południowo-Wschodniej.

W 2021 roku raport Amnesty International powiązał tę grupę z indyjską firmą zajmującą się cyberbezpieczeństwem i zwrócił uwagę na kampanię dystrybucji oprogramowania szpiegującego, która również opierała się na fałszywej aplikacji do czatu.

Aplikacje wykorzystywane w najnowszej kampanii DoNot gromadzą podstawowe informacje, aby przygotować grunt pod bardziej niebezpieczne infekcje złośliwym oprogramowaniem, co wydaje się być pierwszym etapem ataków grupy zagrożeń.

Aplikacje ze Sklepu Play

Podejrzane aplikacje znalezione przez Cyfirmę w Google Play to nSure Chat i iKHfaa VPN, obie przesłane z „SecurITY Industry”.

Obie aplikacje i trzecia od tego samego wydawcy, która według Cyfirmy nie wygląda na złośliwą, pozostają dostępne w Google Play.

Liczba pobrań jest niska dla wszystkich aplikacji SecurITY Industry, co wskazuje, że są one wykorzystywane wybiórczo przeciwko określonym celom.

Obie aplikacje żądają podczas instalacji ryzykownych uprawnień, takich jak dostęp do listy kontaktów użytkownika (READ_CONTACTS) i dokładnych danych o lokalizacji (ACCESS_FINE_LOCATION), w celu wyeksfiltrowania tych informacji do cyberprzestępcy.

Pamiętaj, że aby uzyskać dostęp do lokalizacji celu, GPS musi być aktywny, w przeciwnym razie aplikacja pobierze ostatnią znaną lokalizację urządzenia.

Zebrane dane są przechowywane lokalnie przy użyciu biblioteki ROOM systemu Android, a następnie wysyłane do serwera C2 atakującego za pośrednictwem żądania HTTP.

C2 dla aplikacji VPN to „https[:]ikhfaavpn[.]com.” W przypadku nSure Chat obserwowany adres serwera był widziany w zeszłym roku w operacjach Cobalt Strike.

Analitycy Cyfirmy odkryli, że baza kodu aplikacji VPN hakerów została zaczerpnięta bezpośrednio z legalnego produktu Liberty VPN.

Cele, taktyka, atrybucja

Przypisanie kampanii przez Cyfirmę do grupy zagrożeń DoNot opiera się na specyficznym wykorzystaniu zaszyfrowanych ciągów znaków z wykorzystaniem algorytmu AES/CBC/PKCS5PADDING i zaciemniania Proguard, technik związanych z indyjskimi hakerami.

Co więcej, istnieją pewne nieprawdopodobne zbiegi okoliczności w nazwach niektórych plików generowanych przez szkodliwe aplikacje, łączące je z wcześniejszymi kampaniami DoNot.

Badacze uważają, że osoby atakujące porzuciły taktykę wysyłania wiadomości phishingowych zawierających złośliwe załączniki na rzecz ataków typu spear za pośrednictwem komunikatorów WhatsApp i Telegram.

Bezpośrednie wiadomości w tych aplikacjach kierują ofiary do sklepu Google Play, zaufanej platformy, która uzasadnia atak, dzięki czemu można je łatwo nakłonić do pobrania sugerowanych aplikacji.

Jeśli chodzi o cele ostatniej kampanii DoNot, niewiele o nich wiadomo poza tym, że mają siedzibę w Pakistanie.