Des individus de la région du Pakistan ont été ciblés à l’aide de deux applications Android malveillantes disponibles sur le Google Play Store dans le cadre d’une nouvelle campagne ciblée.
La société de cybersécurité Cyfirma a attribué la campagne avec une confiance modérée à un acteur menaçant connu sous le nom de DoNot Team, également suivi sous les noms d’APT-C-35 et de Viceroy Tiger.
L’activité d’espionnage consiste à duper les propriétaires de smartphones Android en téléchargeant un programme utilisé pour extraire les données de contact et de localisation des victimes involontaires.
« Le motif de l’attaque est de collecter des informations via la charge utile du stager et d’utiliser les informations recueillies pour l’attaque de deuxième étape, en utilisant des logiciels malveillants avec des fonctionnalités plus destructrices », a déclaré la société. a dit.
Équipe DoNot est un acteur présumé de la menace liée à l’Inde qui a la réputation d’avoir perpétré des attaques contre divers pays d’Asie du Sud. Il est actif depuis au moins 2016.
Alors qu’un rapport d’octobre 2021 d’Amnesty International a lié l’infrastructure d’attaque du groupe à une société indienne de cybersécurité appelée Innefu Labs, Group-IB, en février 2023, a déclaré avoir identifié des chevauchements entre DoNot Team et SideWinder, une autre équipe de piratage indienne présumée.
Les chaînes d’attaque montées par le groupe exploitent les e-mails de harponnage contenant des documents et des fichiers leurres comme leurres pour propager des logiciels malveillants. En outre, l’auteur de la menace est connu pour utiliser applications Android malveillantes qui se font passer pour des services publics légitimes dans leurs attaques ciblées.
Ces applications, une fois installées, activent le comportement des chevaux de Troie en arrière-plan et peuvent contrôler à distance le système de la victime, en plus de voler des informations confidentielles sur les appareils infectés.
Le dernier ensemble d’applications découvertes par Cyfirma provient d’un développeur nommé « SecurITY Industry » et se fait passer pour des VPN et des applications de chat, ce dernier toujours disponible à télécharger sur le Play Store –
- iKHfaaVPN (com.securityapps.ikhfaavpn) – 10+ téléchargements
- nSure Chat (com.nSureChat.application) – 100+ téléchargements
L’application VPN, qui réutilise le code source extrait du véritable produit Liberty VPN, n’est plus hébergée sur la vitrine officielle de l’application, bien que des preuves montrent qu’elle était disponible aussi récemment que le 12 juin 2023.
Le faible nombre de téléchargements indique que les applications sont utilisées dans le cadre d’une opération très ciblée, caractéristique des acteurs de l’État-nation. Les deux applications sont configurées pour inciter les victimes à leur accorder des autorisations invasives pour accéder à leurs listes de contacts et à leurs emplacements précis.
On sait peu de choses sur les victimes ciblées à l’aide des applications malveillantes, à l’exception du fait qu’elles sont basées au Pakistan. On pense que les utilisateurs ont peut-être été approchés via des messages sur Telegram et WhatsApp pour les inciter à installer les applications.
En utilisant le Google Play Store comme vecteur de distribution de logiciels malveillants, l’approche abuse de la confiance implicite placée par les utilisateurs sur le marché des applications en ligne et lui donne un air de légitimité. Il est donc essentiel que les applications soient soigneusement examinées avant de les télécharger.
« Il semble que ce malware Android ait été spécialement conçu pour la collecte d’informations », a déclaré Cyfirma. « En accédant aux listes de contacts et aux emplacements des victimes, l’acteur de la menace peut élaborer des stratégies pour de futures attaques et utiliser des logiciels malveillants Android avec des fonctionnalités avancées pour cibler et exploiter les victimes. »