Três aplicativos Android no Google Play foram usados por atores de ameaças apoiados pelo estado para coletar inteligência de dispositivos direcionados, como dados de localização e listas de contatos.
Os aplicativos maliciosos do Android foram descobertos pela Cyfirma, que atribuiu a operação com média confiança ao grupo de hackers indiano "DoNot", também rastreado como APT-C-35, que tem como alvo organizações de alto perfil no sudeste asiático desde pelo menos 2018.
Em 2021, um relatório da Amnesty International ligou o grupo de ameaças a uma empresa de cibersegurança indiana e destacou uma campanha de distribuição de spyware que também dependia de um aplicativo de chat falso.
Os aplicativos usados na última campanha da DoNot realizam a coleta básica de informações para preparar o terreno para infecções de malware mais perigosas, representando o que parece ser a primeira fase dos ataques do grupo de ameaças.
Os aplicativos suspeitos encontrados pela Cyfirma no Google Play são nSure Chat e iKHfaa VPN, ambos enviados por 'SecurITY Industry'.
Ambos os aplicativos e um terceiro do mesmo editor, que não parece ser malicioso de acordo com a Cyfirma, permanecem disponíveis no Google Play.
O número de downloads é baixo para todos os aplicativos da SecurITY Industry, indicando que eles são usados seletivamente contra alvos específicos.
Os dois aplicativos solicitam permissões arriscadas durante a instalação, como acesso à lista de contatos do usuário (READ_CONTACTS) e dados de localização precisos (ACCESS_FINE_LOCATION), para exfiltrar essas informações para o ator de ameaças.
Note que para acessar a localização do alvo, o GPS precisa estar ativo, caso contrário, o aplicativo busca a última localização conhecida do dispositivo.
Os dados coletados são armazenados localmente usando a biblioteca ROOM do Android e posteriormente enviados para o servidor C2 do atacante por meio de uma solicitação HTTP.
O C2 para o aplicativo VPN é "ikhfaavpn".
No caso do nSure Chat, o endereço do servidor observado foi visto no ano passado em operações Cobalt Strike.
Os analistas da Cyfirma descobriram que a base de código do aplicativo VPN dos hackers foi retirada diretamente do produto legítimo Liberty VPN.
A atribuição da campanha da Cyfirma ao grupo de ameaças DoNot é baseada no uso específico de strings criptografadas que utilizam o algoritmo AES/CBC/PKCS5PADDING e na ofuscação Proguard, ambas as técnicas associadas aos hackers indianos.
Além disso, existem algumas coincidências improváveis no nome de certos arquivos gerados pelos aplicativos maliciosos, ligando-os às campanhas anteriores da DoNot.
Os pesquisadores acreditam que os atacantes abandonaram a tática de enviar e-mails de phishing com anexos maliciosos em favor de ataques de mensagens diretas via WhatsApp e Telegram.
As mensagens diretas nesses aplicativos direcionam as vítimas para a loja do Google Play, uma plataforma confiável que empresta legitimidade ao ataque, para que possam ser facilmente enganadas a baixar aplicativos sugeridos.
Quanto aos alvos da última campanha da DoNot, pouco se sabe sobre eles, exceto que estão baseados no Paquistão.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...