Ngày 20 tháng 6 năm 2023Ravie LakshmananGián điệp mạng / An ninh di động
Các cá nhân ở khu vực Pakistan đã bị nhắm mục tiêu bằng cách sử dụng hai ứng dụng Android lừa đảo có sẵn trên Cửa hàng google Play như một phần của chiến dịch được nhắm mục tiêu mới.
Công ty an ninh mạng Cyfirma quy kết chiến dịch với độ tin cậy vừa phải cho một tác nhân đe dọa được gọi là DoNot Team, còn được theo dõi là APT-C-35 và Viceroy Tiger.
Hoạt động gián điệp liên quan đến việc lừa chủ sở hữu điện thoại thông minh Android tải xuống một chương trình được sử dụng để trích xuất dữ liệu liên hệ và vị trí từ những nạn nhân vô tình.
Công ty cho biết: “Động cơ đằng sau cuộc tấn công là thu thập thông tin thông qua tải trọng stager và sử dụng thông tin thu thập được cho cuộc tấn công giai đoạn hai, sử dụng phần mềm độc hại có nhiều tính năng phá hoại hơn”.
DoNot Team là một kẻ bị nghi ngờ là kẻ đe dọa có mối quan hệ với Ấn Độ, có tiếng là thực hiện các cuộc tấn công chống lại các quốc gia khác nhau ở Nam Á. Nó đã hoạt động ít nhất từ năm 2016.
Trong khi một báo cáo vào tháng 10 năm 2021 từ Tổ chức Ân xá Quốc tế đã liên kết cơ sở hạ tầng tấn công của nhóm với một công ty an ninh mạng Ấn Độ có tên là Innefu Labs, Group-IB, vào tháng 2 năm 2023, cho biết họ đã xác định được sự chồng chéo giữa DoNot Team và SideWinder, một nhóm tin tặc Ấn Độ bị nghi ngờ khác.
Các chuỗi tấn công do nhóm thiết lập tận dụng các email lừa đảo trực tuyến có chứa tài liệu và tệp mồi nhử làm mồi nhử để phát tán phần mềm độc hại. Ngoài ra, tác nhân đe dọa được biết là sử dụng các ứng dụng Android độc hại giả dạng các tiện ích hợp pháp trong các cuộc tấn công mục tiêu của chúng.
Các ứng dụng này, sau khi được cài đặt, sẽ kích hoạt hoạt động của trojan trong nền và có thể điều khiển hệ thống của nạn nhân từ xa, bên cạnh việc ăn cắp thông tin bí mật từ các thiết bị bị nhiễm.
Bộ ứng dụng mới nhất do Cyfirma phát hiện bắt nguồn từ nhà phát triển có tên “SecurITY Industry” và chuyển thành VPN và ứng dụng trò chuyện, với ứng dụng sau vẫn có sẵn để tải xuống từ Cửa hàng Play –
iKHfaa VPN (com.securityapps.ikhfaavpn) – hơn 10 lượt tải xuống nSure Chat (com.nSureChat.application) – hơn 100 lượt tải xuống
Ứng dụng VPN, sử dụng lại mã nguồn lấy từ sản phẩm Liberty VPN chính hãng, không còn được lưu trữ trên cửa hàng ứng dụng chính thức, mặc dù bằng chứng cho thấy ứng dụng này đã có sẵn vào ngày 12 tháng 6 năm 2023.
Số lượt tải xuống thấp là dấu hiệu cho thấy các ứng dụng đang được sử dụng như một phần của hoạt động được nhắm mục tiêu cao, một dấu hiệu đặc trưng của các tác nhân quốc gia. Cả hai ứng dụng đều được định cấu hình để lừa nạn nhân cấp cho họ quyền xâm phạm để truy cập danh sách liên hệ và vị trí chính xác của họ.
Người ta biết rất ít về các nạn nhân bị nhắm mục tiêu bằng cách sử dụng các ứng dụng lừa đảo ngoại trừ thực tế là họ có trụ sở tại Pakistan. Người ta tin rằng người dùng có thể đã được tiếp cận qua tin nhắn trên Telegram và WhatsApp để dụ họ cài đặt ứng dụng.
Bằng cách sử dụng Cửa hàng Google Play làm phương tiện phân phối phần mềm độc hại, cách tiếp cận này lạm dụng lòng tin ngầm của người dùng đối với thị trường ứng dụng trực tuyến và tạo cho nó vẻ hợp pháp. Do đó, điều cần thiết là các ứng dụng phải được xem xét kỹ lưỡng trước khi tải chúng xuống.
Cyfirma cho biết: “Có vẻ như phần mềm độc hại Android này được thiết kế đặc biệt để thu thập thông tin. “Bằng cách có quyền truy cập vào danh sách liên hệ và vị trí của nạn nhân, kẻ đe dọa có thể lập chiến lược cho các cuộc tấn công trong tương lai và sử dụng phần mềm độc hại Android với các tính năng nâng cao để nhắm mục tiêu và khai thác nạn nhân.”
