Las personas en la región de Pakistán han sido atacadas mediante dos aplicaciones de Android no autorizadas disponibles en Google Play Store como parte de una nueva campaña dirigida.
La firma de ciberseguridad Cyfirma atribuyó la campaña con confianza moderada a un actor de amenazas conocido como DoNot Team, que también se rastrea como APT-C-35 y Viceroy Tiger.
La actividad de espionaje consiste en engañar a los propietarios de teléfonos inteligentes Android para que descarguen un programa que se utiliza para extraer datos de contacto y ubicación de víctimas involuntarias.
«El motivo detrás del ataque es recopilar información a través de la carga útil de Stager y usar la información recopilada para el ataque de segunda etapa, utilizando malware con características más destructivas», dijo la compañía. dicho.
No hagas equipo es un presunto actor de amenazas India-nexus que tiene reputación de llevar a cabo ataques contra varios países en el sur de Asia. Ha estado activo desde al menos 2016.
Si bien un informe de octubre de 2021 de Amnistía Internacional vinculó la infraestructura de ataque del grupo con una empresa de ciberseguridad india llamada Innefu Labs, Group-IB, en febrero de 2023, dijo que identificó superposiciones entre DoNot Team y SideWinder, otro presunto equipo indio de piratería.
Las cadenas de ataque montadas por el grupo aprovechan los correos electrónicos de phishing selectivo que contienen documentos y archivos señuelo como señuelos para propagar malware. Además, se sabe que el actor de amenazas usa aplicaciones maliciosas de Android que se hacen pasar por utilidades legítimas en sus ataques objetivo.
Estas aplicaciones, una vez instaladas, activan el comportamiento troyano en segundo plano y pueden controlar de forma remota el sistema de la víctima, además de sustraer información confidencial de los dispositivos infectados.
El último conjunto de aplicaciones descubierto por Cyfirma se originó en un desarrollador llamado «SecurITY Industry» y se hizo pasar por VPN y aplicaciones de chat, con este último aun disponible para descargar desde Play Store –
- iKHfaa VPN (com.securityapps.ikhfaavpn) – Más de 10 descargas
- Chat seguro (com.nSureChat.application) – 100+ descargas
La aplicación VPN, que reutiliza el código fuente tomado del producto Liberty VPN genuino, ya no está alojada en la tienda oficial de aplicaciones, aunque la evidencia muestra que fue disponible tan recientemente como el 12 de junio de 2023.
El recuento bajo de descargas es una indicación de que las aplicaciones se están utilizando como parte de una operación muy específica, un sello distintivo de los actores del estado-nación. Ambas aplicaciones están configuradas para engañar a las víctimas para que les concedan permisos invasivos para acceder a sus listas de contactos y ubicaciones precisas.
Poco se sabe sobre las víctimas a las que se dirigen las aplicaciones maliciosas, salvo el hecho de que se encuentran en Pakistán. Se cree que los usuarios pueden haber sido abordados a través de mensajes en Telegram y WhatsApp para atraerlos a instalar las aplicaciones.
Al utilizar Google Play Store como vector de distribución de malware, el enfoque abusa de la confianza implícita depositada por los usuarios en el mercado de aplicaciones en línea y le da un aire de legitimidad. Por lo tanto, es esencial que las aplicaciones se analicen cuidadosamente antes de descargarlas.
«Parece que este malware de Android fue diseñado específicamente para recopilar información», dijo Cyfirma. «Al obtener acceso a las listas de contactos y ubicaciones de las víctimas, el actor de amenazas puede diseñar estrategias de ataques futuros y emplear malware de Android con funciones avanzadas para atacar y explotar a las víctimas».