Berichten zufolge hat die Hackergruppe seit 2018 hochkarätige Organisationen in Südostasien im Visier, berichtet Bleeping Computer.
Die verwendeten Apps in Unterlassen SieDie neueste Kampagne sammelt grundlegende Informationen. Diese Daten können der Bedrohungsgruppe dabei helfen, den Boden für gefährlichere Malware-Angriffe zu bereiten. Berichten zufolge stellt die jüngste Kampagne auch die erste Phase der Angriffe der Gruppe dar.
Google Play Store-Apps verbreiten Spyware
Laut Cyfirma sind die mutmaßlichen Apps, die angeblich Spyware zum Sammeln von Daten verbreiten, auf verfügbar Google Spielladen. Beide Apps, nSure Chat und iKHfaa VPN wurden vom Entwickler namens „Sicherheitsbranche.‘
Mittlerweile hat der Herausgeber auch eine dritte App im Play Store, die für Cyfirma nicht schädlich zu sein schien. Wir von TOI-GadgetsNow haben den Google Play Store nach diesen Apps durchsucht. Das iKHfaa-VPN schien entfernt worden zu sein, während die nSure Chat-App noch auf der Plattform verfügbar ist und Google Benutzern weiterhin den Download erlaubt.
Die Downloadzahlen der von der „SecurITY Industry“ entwickelten Apps sind vergleichsweise gering. Dies deutet darauf hin, dass diese Apps selektiv gegen bestimmte Ziele eingesetzt werden.
Wie diese Apps Daten stehlen
Der Bericht behauptet, dass diese Apps Benutzer während der Installation um riskante Berechtigungen bitten. Zu diesen Berechtigungen gehört der Zugriff auf die Kontaktliste des Benutzers und genaue Standortdaten. Die Apps sammeln dann diese Daten und senden sie an den Angreifer.
Um jedoch auf den aktuellen Standort des Opfers zugreifen zu können, muss das GPS auf dem Gerät des Opfers aktiv sein. In anderen Fällen ruft die App den letzten bekannten Standort des Geräts ab. Die gesammelten Daten werden lokal gespeichert Android’s ROOM-Bibliothek. Diese Daten werden später über eine HTTP-Anfrage an den C2-Server des Angreifers gesendet.
Cyfirma-Analysten haben außerdem herausgefunden, dass die Codebasis der VPN-App der Hacker von der legitimen kopiert wurde Liberty VPN Service.
Wie Cyfirma die Operation mit DoNot verknüpfte
Das Cybersicherheitsunternehmen ordnete die Kampagne aufgrund der konkreten Verwendung verschlüsselter Zeichenfolgen der DoNot-Bedrohungsgruppe zu. Die Techniken wurden mit der mutmaßlichen Hackergruppe in Verbindung gebracht. Das Unternehmen stellte außerdem fest, dass bestimmte von den Schad-Apps generierte Dateinamen auch mit früheren DoNot-Kampagnen verknüpft waren.
Cyfirma-Forscher weisen darauf hin, dass die Angreifer die Taktik, Phishing-E-Mails mit bösartigen Anhängen zu versenden, aufgegeben haben. Stattdessen setzt die Gruppe nun Spear-Messaging-Angriffstaktiken über WhatsApp und andere ein Telegramm Messaging-Plattformen. Über Direktnachrichten in diesen Apps gesendete Links führen die Opfer zum Google Play Store. Der App Store von Android ist eine vertrauenswürdige Plattform, die auch dazu beiträgt, dass der Angriff legitim ist. Dies hilft den Angreifern, Opfer leicht dazu zu verleiten, vorgeschlagene Apps herunterzuladen.