نرم افزارهای جاسوسی اندروید استتار شده به عنوان VPN و برنامه های چت در Google Play

سه برنامه اندروید در Google Play توسط عوامل تهدید مورد حمایت دولت برای جمع‌آوری اطلاعات از دستگاه‌های مورد نظر، مانند داده‌های موقعیت مکانی و فهرست‌های مخاطبین استفاده شده‌اند. برنامه‌های مخرب اندروید توسط Cyfirma کشف شدند که این عملیات را با اطمینان متوسط به گروه هکر هندی "DoNot" نسبت داد که با نام APT-C-35 نیز ردیابی می‌شود که حداقل از سال 2018 سازمان‌های برجسته در جنوب شرقی آسیا را هدف قرار داده است. برنامه‌های مورد استفاده در آخرین کمپین DoNot جمع‌آوری اطلاعات اولیه را انجام می‌دهند تا زمینه را برای آلودگی‌های بدافزاری خطرناک‌تر آماده کنند که به نظر می‌رسد اولین مرحله از حملات گروه تهدید باشد.

برنامه های مشکوک یافت شده توسط Cyfirma در Google Play عبارت‌اند از nSure Chat و iKHfaa VPN که هر دو از «SecurITY Industry» آپلود شده‌اند. هر دو برنامه و یک برنامه دیگر از همان ناشر که طبق Cyfirma مخرب به نظر نمی‌رسند، در Google Play در دسترس هستند.

تعداد دانلود برای همه برنامه های SecurITY Industry کم است که نشان می‌دهد آنها به طور انتخابی علیه اهداف خاص استفاده می‌شوند. این دو برنامه در حین نصب، مجوزهای خطرناکی مانند دسترسی به لیست مخاطبین کاربر (READ_CONTACTS) و اطلاعات مکان دقیق (ACCESS_FINE_LOCATION) درخواست می‌کنند تا این اطلاعات را به عامل تهدید منتقل کنند.

توجه داشته باشید که برای دسترسی به مکان هدف، GPS باید فعال باشد، در غیر این صورت، برنامه آخرین مکان شناخته شده دستگاه را واکشی می‌کند. داده‌های جمع‌آوری شده به صورت محلی با استفاده از کتابخانه ROOM اندروید ذخیره می‌شود و بعداً از طریق یک درخواست HTTP به سرور C2 مهاجم ارسال می‌شود.

C2 مورد استفاده برنامه vpn، "https[:]ikhfaavpn[.]com" است. «در مورد nSure Chat، آدرس سرور مشاهده شده سال گذشته در عملیات Cobalt Strike مشاهده شد». تحلیلگران Cyfirma دریافتند که پایه کد برنامه VPN هکرها مستقیماً از محصول قانونی Liberty VPN گرفته شده است.

انتساب این کمپین به گروه تهدید DoNot توسط Cyfirma بر اساس استفاده خاص از رشته‌های رمزگذاری شده با استفاده از الگوریتم AES/CBC/PKCS5PADDING و مبهم سازی Proguard است که هر دو تکنیک مرتبط با هکرهای هندی هستند. علاوه بر این، برخی شباهت‌ها در نام‌گذاری فایل‌های خاص تولیدشده توسط برنامه‌های مخرب وجود دارد که آنها را به کمپین‌های DoNot گذشته مرتبط می‌کند.

محققان بر این باورند که مهاجمان تاکتیک ارسال ایمیل‌های فیشینگ حاوی پیوست‌های مخرب را به نفع حملات پیام‌رسانی نیزه‌ای (هدفمند) از طریق واتس‌اپ و تلگرام کنار گذاشته‌اند. پیام‌های مستقیم در این برنامه‌ها،  قربانیان را به فروشگاه Google Play هدایت می‌کند،  یک پلتفرم قابل اعتماد که به حمله مشروعیت می‌بخشد،  بنابراین می‌توان آنها را به راحتی فریب داد تا برنامه‌های پیشنهادی را دانلود کنند.