Três aplicativos Android no Google Play foram usados por atores de ameaças apoiados pelo estado para coletar inteligência de dispositivos direcionados, como dados de localização e listas de contatos.
Os aplicativos maliciosos do Android foram descobertos pela Cyfirma, que atribuiu a operação com média confiança ao grupo de hackers indiano "DoNot", também rastreado como APT-C-35, que tem como alvo organizações de alto perfil no sudeste asiático desde pelo menos 2018.
Em 2021, um relatório da Amnesty International ligou o grupo de ameaças a uma empresa de cibersegurança indiana e destacou uma campanha de distribuição de spyware que também dependia de um aplicativo de chat falso.
Os aplicativos usados na última campanha da DoNot realizam a coleta básica de informações para preparar o terreno para infecções de malware mais perigosas, representando o que parece ser a primeira fase dos ataques do grupo de ameaças.
Os aplicativos suspeitos encontrados pela Cyfirma no Google Play são nSure Chat e iKHfaa VPN, ambos enviados por 'SecurITY Industry'.
Ambos os aplicativos e um terceiro do mesmo editor, que não parece ser malicioso de acordo com a Cyfirma, permanecem disponíveis no Google Play.
O número de downloads é baixo para todos os aplicativos da SecurITY Industry, indicando que eles são usados seletivamente contra alvos específicos.
Os dois aplicativos solicitam permissões arriscadas durante a instalação, como acesso à lista de contatos do usuário (READ_CONTACTS) e dados de localização precisos (ACCESS_FINE_LOCATION), para exfiltrar essas informações para o ator de ameaças.
Note que para acessar a localização do alvo, o GPS precisa estar ativo, caso contrário, o aplicativo busca a última localização conhecida do dispositivo.
Os dados coletados são armazenados localmente usando a biblioteca ROOM do Android e posteriormente enviados para o servidor C2 do atacante por meio de uma solicitação HTTP.
O C2 para o aplicativo VPN é "ikhfaavpn".
No caso do nSure Chat, o endereço do servidor observado foi visto no ano passado em operações Cobalt Strike.
Os analistas da Cyfirma descobriram que a base de código do aplicativo VPN dos hackers foi retirada diretamente do produto legítimo Liberty VPN.
A atribuição da campanha da Cyfirma ao grupo de ameaças DoNot é baseada no uso específico de strings criptografadas que utilizam o algoritmo AES/CBC/PKCS5PADDING e na ofuscação Proguard, ambas as técnicas associadas aos hackers indianos.
Além disso, existem algumas coincidências improváveis no nome de certos arquivos gerados pelos aplicativos maliciosos, ligando-os às campanhas anteriores da DoNot.
Os pesquisadores acreditam que os atacantes abandonaram a tática de enviar e-mails de phishing com anexos maliciosos em favor de ataques de mensagens diretas via WhatsApp e Telegram.
As mensagens diretas nesses aplicativos direcionam as vítimas para a loja do Google Play, uma plataforma confiável que empresta legitimidade ao ataque, para que possam ser facilmente enganadas a baixar aplicativos sugeridos.
Quanto aos alvos da última campanha da DoNot, pouco se sabe sobre eles, exceto que estão baseados no Paquistão.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...