Các ứng dụng Android độc hại đã được phát hiện bởi các nhà nghiên cứu tới từ công ty an ninh mạng Cyfirma, họ đã quy kết hoạt động này liên quan đến một nhóm tin tặc tới từ Ấn Độ có tên là “DoNot”, còn được gọi là “APT-C-35” - nhóm này đã nhắm mục tiêu tấn công mạng vào một số tổ chức/doanh nghiệp lớn ở Đông Nam Á ít nhất là từ năm 2018.

Vào năm 2021, một báo cáo của Tổ chức Ân xá Quốc tế đã liên kết nhóm đe dọa này với một công ty an ninh mạng của Ấn Độ và nêu bật một chiến dịch phân phối phần mềm gián điệp cũng dựa trên một ứng dụng trò chuyện giả mạo. Các ứng dụng được sử dụng trong chiến dịch mới nhất của DoNot thực hiện thu thập thông tin cơ bản để chuẩn bị cơ sở cho việc lây nhiễm phần mềm độc hại nguy hiểm hơn, đại diện cho giai đoạn đầu tiên của các cuộc tấn công của tin tặc này.

Các ứng dụng đáng ngờ mà Cyfirma tìm thấy trên Google Play là “nSure Chat” và “iKHfaa VPN”, cả hai đều được tải lên từ “SecurITY Industry”. Ngoài ra, một ứng dụng khác cũng có nguồn gốc từ nhà xuất bản này là “Device Basics Plus”. Cyfirma cho biết số lượt tải xuống tương đối nhỏ đối với các ứng dụng trên cho thấy rằng chúng được sử dụng có chọn lọc, nhắm mục tiêu đến các cá nhân hoặc nhóm cụ thể.

Ứng dụng độc hại trên Google Play 

Các ứng dụng yêu cầu các quyền rủi ro trong quá trình cài đặt, chẳng hạn như quyền truy cập vào danh sách liên hệ của người dùng (READ_CONTACTS) và dữ liệu vị trí chính xác (ACCESS_FINE_LOCATION) để lọc thông tin này cho các tin tặc.

Khi cài đặt ứng dụng các ứng dụng độc hại, người dùng được nhắc nhở để cấp các quyền có thể gây rủi ro tiềm ẩn, bao gồm truy cập thông tin danh sách liên hệ và vị trí chính xác của họ. Thông tin sau đó được gửi đến máy chủ chỉ huy và kiểm soát (C2) của tin tặc.

Quyền được yêu cầu bởi ứng dụng VPN độc hại 

Lưu ý rằng để truy cập vị trí của mục tiêu, GPS cần phải hoạt động, nếu không, ứng dụng sẽ tìm nạp vị trí thiết bị đã biết cuối cùng. Dữ liệu đã thu thập được lưu trữ cục bộ bằng thư viện ROOM của Android và sau đó được gửi đến máy chủ C2 của kẻ tấn công thông qua phương thức HTTP request.

Môđun truy xuất vị trí thiết bị 

Ứng dụng VPN sử dụng máy chủ với địa chỉ tên miền “https[:]ikhfaavpn[.]com”. Trong trường hợp của nSure Chat, địa chỉ máy chủ của nó đã được liên kết trong các hoạt động của Cobalt Strike vào năm 2022. Các nhà phân tích của Cyfirma đã phát hiện ra rằng cơ sở mã của ứng dụng VPN được lấy trực tiếp từ sản phẩm Liberty VPN hợp pháp.

Cyfirma xác định chiến dịch tấn công mạng lần này được thực hiện bởi nhóm tin tặc DoNot là vì dựa trên việc sử dụng cụ thể các chuỗi được mã hóa sử dụng thuật toán AES/CBC/PKCS5PADDING và thuật toán che giấu Proguard, cả hai kỹ thuật thường có liên quan đến tin tặc Ấn Độ.

Chức năng mã hóa trong mã của ứng dụng 

Các nhà nghiên cứu tin rằng các tin tặc đã từ bỏ chiến thuật gửi email lừa đảo có chứa tệp đính kèm độc hại để chuyển sang tấn công bằng tin nhắn thông qua ứng dụng nhắn tin WhatsApp và Telegram.

Tin nhắn trực tiếp trên các ứng dụng này hướng nạn nhân đến cửa hàng Google Play, một nền tảng đáng tin cậy tạo ra tính hợp pháp cho cuộc tấn công, vì vậy họ có thể dễ dàng bị lừa để tải xuống các ứng dụng được đề xuất.