Λογισμικό κατασκοπείας Android καμουφλαρισμένο ως VPN, εφαρμογές συνομιλίας στο Google Play
Related Posts
Τρεις εφαρμογές
Android
στο
Google Play
χρησιμοποιήθηκαν από φορείς απειλών που χρηματοδοτούνται από το κράτος για τη συλλογή πληροφοριών από στοχευμένες συσκευές, όπως δεδομένα τοποθεσίας και λίστες επαφών.
Οι κακόβουλες εφαρμογές Android ανακαλύφθηκαν από
Cyfirma
ο οποίος απέδωσε την επιχείρηση με μέτρια εμπιστοσύνη στην ινδική ομάδα χάκερ «DoNot», παρακολουθείται επίσης ως APT-C-35, η οποία έχει στοχεύσει οργανισμούς υψηλού προφίλ στη Νοτιοανατολική Ασία τουλάχιστον από το 2018.
Το 2021, μια έκθεση της Διεθνούς Αμνηστίας συνέδεσε την ομάδα απειλών με μια ινδική εταιρεία κυβερνοασφάλειας και υπογράμμισε μια εκστρατεία διανομής spyware που βασιζόταν επίσης σε μια ψεύτικη εφαρμογή συνομιλίας.
Οι εφαρμογές που χρησιμοποιούνται στην τελευταία καμπάνια του DoNot εκτελούν συλλογή βασικών πληροφοριών για να προετοιμάσουν το έδαφος για πιο επικίνδυνες μολύνσεις από κακόβουλο λογισμικό, αντιπροσωπεύοντας αυτό που φαίνεται να είναι το πρώτο στάδιο των επιθέσεων της ομάδας απειλών.
Εφαρμογές Play Store
Οι ύποπτες εφαρμογές που εντόπισε η Cyfirma στο
Google
Play είναι το nSure Chat και το iKHfaa VPN, και οι δύο μεταφορτώθηκαν από το “SecurITY Industry”.
Και οι δύο εφαρμογές και ένας τρίτος από τον ίδιο εκδότη, ο οποίος δεν φαίνεται κακόβουλος σύμφωνα με την Cyfirma, παραμένουν διαθέσιμες στο Google Play.
Η κακόβουλη εφαρμογή συνομιλίας στο Google Play
(BleepingComputer)
Ο αριθμός λήψεων είναι χαμηλός για όλες τις εφαρμογές του SecurITY Industry, υποδεικνύοντας ότι χρησιμοποιούνται επιλεκτικά έναντι συγκεκριμένων στόχων.
Οι δύο εφαρμογές ζητούν επικίνδυνες άδειες κατά την εγκατάσταση, όπως πρόσβαση στη λίστα επαφών του χρήστη (READ_CONTACTS) και ακριβή δεδομένα τοποθεσίας (ACCESS_FINE_LOCATION), για να διευρύνουν αυτές τις πληροφορίες στον παράγοντα απειλής.
Δικαιώματα που ζητούνται από την κακόβουλη εφαρμογή VPN
(Cyfirma)
Σημειώστε ότι για να αποκτήσετε πρόσβαση στην τοποθεσία του στόχου, το GPS πρέπει να είναι ενεργό, διαφορετικά, η εφαρμογή ανακτά την τελευταία γνωστή τοποθεσία της συσκευής.
Τα δεδομένα που συλλέγονται αποθηκεύονται τοπικά χρησιμοποιώντας τη βιβλιοθήκη ROOM του Android και αργότερα αποστέλλονται στον διακομιστή C2 του εισβολέα μέσω αιτήματος HTTP.
Μονάδα για την ανάκτηση της θέσης της συσκευής
(Cyfirma)
Το C2 για την εφαρμογή VPN είναι “https[:]ikhfaavpn[.]com.” Στην περίπτωση του nSure Chat, η παρατηρούμενη διεύθυνση διακομιστή εμφανίστηκε πέρυσι στις επιχειρήσεις Cobalt Strike.
Οι αναλυτές της Cyfirma διαπίστωσαν ότι η βάση κώδικα της εφαρμογής VPN των χάκερ ελήφθη απευθείας από το νόμιμο προϊόν Liberty VPN.
Στόχοι, τακτικές, απόδοση
Η απόδοση της καμπάνιας από την Cyfirma στην ομάδα απειλών DoNot βασίζεται στη συγκεκριμένη χρήση κρυπτογραφημένων συμβολοσειρών που χρησιμοποιούν τον αλγόριθμο AES/CBC/PKCS5PADDING και τη συσκότιση Proguard, τεχνικές που σχετίζονται και οι δύο με τους Ινδούς χάκερ.
Επιπλέον, υπάρχουν μερικές απίθανες συμπτώσεις στην ονομασία ορισμένων αρχείων που δημιουργούνται από τις κακόβουλες εφαρμογές, συνδέοντάς τα με προηγούμενες καμπάνιες DoNot.
Η κρυπτογράφηση φαίνεται στον κώδικα των εφαρμογών
(Cyfirma)
Οι ερευνητές πιστεύουν ότι οι επιτιθέμενοι έχουν εγκαταλείψει την τακτική της αποστολής ηλεκτρονικών μηνυμάτων ηλεκτρονικού ψαρέματος που φέρουν κακόβουλα συνημμένα υπέρ των επιθέσεων ανταλλαγής μηνυμάτων μέσω
WhatsApp
και
Telegram
.
Τα απευθείας μηνύματα σε αυτές τις εφαρμογές κατευθύνουν τα θύματα στο κατάστημα Google Play, μια αξιόπιστη πλατφόρμα που προσδίδει νομιμότητα στην επίθεση, ώστε να μπορούν εύκολα να εξαπατηθούν ώστε να κατεβάσουν προτεινόμενες εφαρμογές.
Όσον αφορά τους στόχους της τελευταίας εκστρατείας του DoNot, λίγα είναι γνωστά γι’ αυτούς εκτός από το ότι έχουν έδρα στο Πακιστάν.
