Компанія CYFIRMA, що спеціалізується на кібербезпеці, нещодавно виявила підозрілі додатки для Android в Google Play Store під обліковим записом “Індустрія безпеки”. Провівши технічний аналіз, вони виявили, що ці додатки містять ознаки шкідливого програмного забезпечення і пов’язані з сумнозвісною групою персистентних загроз, відомою як “DoNot”, яка раніше націлювалася на осіб у регіоні Кашмір. Як не дивно, але тепер ця група змістила свою увагу на осіб у Пакистані, хоча мотиви цих кібератак у південноазійському регіоні залишаються невідомими.
Новіші стратегії передбачають надсилання жертві текстових повідомлень через Telegram і WhatsApp
Аналіз показав, що на початковому етапі атаки зловмисники мали на меті зібрати інформацію за допомогою підставних осіб. Потім ця інформація використовувалася для другого етапу атаки з використанням більш небезпечного шкідливого програмного забезпечення. CYFIRMA виявила три додатки для Android, розміщені в обліковому записі “Security Industry” в Google Play Store: Device Basic Plus, nSure Chat та iKHfaa VPN. З них nSure Chat та iKHfaa VPN мали шкідливі характеристики. Зловмисник спритно замаскував ці додатки, використовуючи невинні бібліотеки Android для вилучення контактів і місцезнаходження скомпрометованих жертв. iKHfaa VPN навіть скопіював свій код у законного постачальника VPN-послуг і додав додаткові бібліотеки для здійснення шкідливої діяльності.
Подальший аналіз коду, проведений CYFIRMA, показав, що зловмисник використовував шифрування AES/CBC/PKCS5PADDING та методи обфускації Proguard для приховування шкідливого характеру додатків. Ці дані дозволили зробити висновок, що обліковий запис магазину Google Play, на якому розміщені ці програми, належить до групи APT (Advanced Persistent Threat) DoNot (Advanced Persistent Threat – розширена стійка загроза). Методи шифрування та використання схожих імен файлів, як і в попередніх зразках шкідливого програмного забезпечення для Android, вказують на приналежність цих додатків до DoNot.
Конкретні жертви, на яких націлене це шкідливе програмне забезпечення для Android у Пакистані, залишаються майже невідомими. Однак, виходячи з характеристик шкідливого програмного забезпечення та доступу до нього, можна зробити висновок, що метою зловмисників є збір інформації для майбутніх атак з використанням більш досконалого шкідливого програмного забезпечення. Попередня тактика DoNot включала фішингові атаки з використанням шкідливих документів Word, але ця нещодавня зміна вказує на те, що стратегія полягає у заманюванні жертв через платформи обміну повідомленнями, такі як Telegram або WhatsApp, що в кінцевому підсумку призводить до встановлення шкідливих додатків з Google Play Store.
Використовуючи довіру користувачів до Play Store, ці зловмисники можуть значно підвищити шанси на успішні компрометації. Завдяки ретельній перевірці дозволів під час завантаження додатків в Play Store, такі шкідливі програми рідко обходять перевірку безпеки.