Στο Google Play βρέθηκε Android spyware καμουφλαρισμένο ως VPN και chat apps.
Τρεις εφαρμογές Android στο Google Play χρησιμοποιήθηκαν από κρατικούς απειλητικούς φορείς για τη συλλογή πληροφοριών από στοχευμένες συσκευές, όπως δεδομένα τοποθεσίας και λίστες επαφών.
Οι κακόβουλες εφαρμογές Android ανακαλύφθηκαν από τη Cyfirma, η οποία απέδωσε την επιχείρηση στην ινδική ομάδα hacking “DoNot”, η οποία επίσης παρακολουθείται ως APT-C-35, η οποία έχει στοχεύσει οργανισμούς υψηλού προφίλ στη Νοτιοανατολική Ασία τουλάχιστον από το 2018.
Το 2021, μια έκθεση της Διεθνούς Αμνηστίας συνέδεσε την απειλητική ομάδα με μια ινδική εταιρεία κυβερνοασφάλειας και ανέδειξε μια εκστρατεία διανομής spyware που βασιζόταν και σε μια ψεύτικη εφαρμογή συνομιλίας.
Οι εφαρμογές που χρησιμοποιούνται στην τελευταία εκστρατεία της DoNot πραγματοποιούν βασική συλλογή πληροφοριών για να προετοιμάσουν το έδαφος για πιο επικίνδυνες μολύνσεις κακόβουλου λογισμικού, αντιπροσωπεύοντας αυτό που φαίνεται να είναι το πρώτο στάδιο της επίθεσης της απειλητικής ομάδας.
Δείτε επίσης: Το SpinOk Android malware βρέθηκε και σε άλλα δημοφιλή apps
Δείτε επίσης: Πάνω από 60.000 Android apps μόλυναν συσκευές με adware
Play Store εφαρμογές
Η Cyfirma βρήκε δύο ύποπτες εφαρμογές στο Google Play: nSure Chat και iKHfaa VPN, και οι δύο ανεβασμένες από το ‘SecurITY Industry.’
Και οι δύο εφαρμογές, καθώς και μια τρίτη από τον ίδιο εκδότη που δεν φαίνεται κακόβουλη σύμφωνα με την Cyfirma, παραμένουν διαθέσιμες στο Google Play.
Ο αριθμός των λήψεων είναι χαμηλός για όλες τις εφαρμογές του κλάδου της ασφάλειας, γεγονός που υποδηλώνει ότι χρησιμοποιούνται επιλεκτικά εναντίον συγκεκριμένων στόχων.
Οι δύο εφαρμογές ζητούν επικίνδυνες άδειες κατά την εγκατάσταση, όπως πρόσβαση στη λίστα επαφών του χρήστη (READ_CONTACTS) και ακριβή δεδομένα τοποθεσίας (ACCESS_FINE_LOCATION), για να κάνουν exfiltrate αυτές τις πληροφορίες στον απειλητικό παράγοντα.
Σημειώστε ότι για να αποκτήσετε πρόσβαση στη θέση του στόχου, το GPS πρέπει να είναι ενεργό- διαφορετικά, η εφαρμογή αντλεί την τελευταία γνωστή θέση της συσκευής.
Τα δεδομένα που συλλέγονται αποθηκεύονται τοπικά χρησιμοποιώντας τη βιβλιοθήκη Room του Android και αργότερα αποστέλλονται στον διακομιστή C2 του επιτιθέμενου μέσω HTTP request.
Το C2 για την εφαρμογή VPN είναι “https[:]ikhfaavpn[.]com.” Στην περίπτωση του nSure Chat, η παρατηρούμενη διεύθυνση server εμφανίστηκε πέρυσι στα Cobalt Strike operations.
Οι αναλυτές της Cyfirma διαπίστωσαν ότι η βάση κώδικα της εφαρμογής VPN του χάκερ προέρχεται απευθείας από το νόμιμο προϊόν Liberty VPN.
Δείτε επίσης: Το Android malware GravityRAT κλέβει τα WhatsApp backup σας
Στόχοι, τακτικές, απόδοση
Η απόδοση της καμπάνιας από την Cyfirma στην απειλητική ομάδα DoNot βασίζεται στη συγκεκριμένη χρήση κρυπτογραφημένων συμβολοσειρών που χρησιμοποιούν τον αλγόριθμο AES/CBC/PKCS5PADDING και το Proguard obfuscation, τεχνικές που σχετίζονται και οι δύο με τους Ινδούς χάκερ.
Επιπλέον, υπάρχουν κάποιες απίθανες συμπτώσεις στην ονομασία ορισμένων αρχείων που δημιουργούνται από τις κακόβουλες εφαρμογές, οι οποίες τα συνδέουν με προηγούμενες εκστρατείες DoNot.
Οι ερευνητές πιστεύουν ότι οι επιτιθέμενοι έχουν εγκαταλείψει την τακτική της αποστολής ηλεκτρονικών μηνυμάτων ηλεκτρονικού “ψαρέματος” με κακόβουλα συνημμένα αρχεία και έχουν προτιμήσει τις επιθέσεις με μηνύματα μέσω WhatsApp και Telegram.
Τα direct messages σε αυτές τις εφαρμογές κατευθύνουν τα θύματα στο Google Play Store, μια αξιόπιστη πλατφόρμα που προσδίδει νομιμότητα στην επίθεση, ώστε να μπορούν εύκολα να εξαπατηθούν και να κατεβάσουν τις προτεινόμενες εφαρμογές.
Όσον αφορά τους στόχους της τελευταίας εκστρατείας της DoNot, λίγα είναι γνωστά γι’ αυτούς εκτός από το ότι έχουν την έδρα τους στο Πακιστάν.
Πηγή πληροφοριών: bleepingcomputer.com
