Darmowe VPNy na Androida kradły dane użytkowników
Trzy aplikacje na Androida w Google Play były wykorzystywane przez sponsorowane przez państwo podmioty do zbierania danych wywiadowczych z docelowych urządzeń, takich jak dane o lokalizacji i listy kontaktów.
Złośliwe aplikacje na Androida zostały odkryte przez Cyfirmę, która ze średnią pewnością przypisała operację indyjskiej grupie hakerskiej „DoNot”, śledzonej również jako APT-C-35, która od co najmniej 2018 r. atakuje znane organizacje w Azji Południowo-Wschodniej.
W 2021 r. raport Amnesty International powiązał tę grupę zagrożeń z indyjską firmą zajmującą się cyberbezpieczeństwem i zwrócił uwagę na kampanię dystrybucji oprogramowania szpiegującego, która opierała się również na fałszywej aplikacji do czatowania.
Aplikacje używane w najnowszej kampanii DoNot zbierają podstawowe informacje, aby przygotować grunt pod bardziej niebezpieczne infekcje złośliwym oprogramowaniem, reprezentując coś, co wydaje się być pierwszym etapem ataków grupy zagrożeń.
Aplikacje ze Sklepu Play
Podejrzane aplikacje znalezione przez Cyfirmę w Google Play to nSure Chat i iKHfaa VPN, obie przesłane z „SecurITY Industry”.
Obie aplikacje i trzecia od tego samego wydawcy, która według Cyfirmy nie wydaje się złośliwa, pozostają dostępne w Google Play.
Kategorycznie nie polecamy używania darmowych VPN, nie chronią one nas przed wyciekami danych, a możemy paść ofiarą sprzedawania informacji o naszych komputerach.
Liczba pobrań jest niska dla wszystkich aplikacji SecurITY Industry, co wskazuje, że są one używane selektywnie przeciwko określonym celom.
Obie aplikacje żądają ryzykownych uprawnień podczas instalacji, takich jak dostęp do listy kontaktów użytkownika (READ_CONTACTS) i dokładnych danych o lokalizacji (ACCESS_FINE_LOCATION), w celu eksfiltracji tych informacji do podmiotu stanowiącego zagrożenie.
Należy pamiętać, że aby uzyskać dostęp do lokalizacji celu, GPS musi być aktywny, w przeciwnym razie aplikacja pobiera ostatnią znaną lokalizację urządzenia.
Zebrane dane są przechowywane lokalnie przy użyciu biblioteki ROOM systemu Android, a następnie wysyłane do serwera C2 atakującego za pośrednictwem żądania HTTP.
C2 dla aplikacji VPN to „https[:]ikhfaavpn[.]com”. W przypadku nSure Chat, zaobserwowany adres serwera był widziany w zeszłym roku w operacjach Cobalt Strike.
Analitycy Cyfirmy ustalili, że baza kodu aplikacji VPN hakerów została pobrana bezpośrednio z legalnego produktu Liberty VPN.
Cele, taktyka, atrybucja
Cyfirma przypisuje kampanię grupie zagrożeń DoNot w oparciu o specyficzne użycie zaszyfrowanych ciągów wykorzystujących algorytm AES/CBC/PKCS5PADDING i zaciemnianie Proguard, obie techniki związane z indyjskimi hakerami.
Co więcej, istnieją pewne nieprawdopodobne zbiegi okoliczności w nazewnictwie niektórych plików generowanych przez złośliwe aplikacje, łączące je z przeszłymi kampaniami DoNot.
Badacze uważają, że atakujący porzucili taktykę wysyłania wiadomości phishingowych zawierających złośliwe załączniki na rzecz ataków za pośrednictwem wiadomości szpiegowskich za pośrednictwem WhatsApp i Telegram.
Bezpośrednie wiadomości w tych aplikacjach kierują ofiary do sklepu Google Play, zaufanej platformy, która nadaje atakowi legalność, dzięki czemu można je łatwo nakłonić do pobrania sugerowanych aplikacji.
Jeśli chodzi o cele najnowszej kampanii DoNot, niewiele o nich wiadomo poza tym, że mają siedzibę w Pakistanie.