Spyware u zbulua në aplikacionet nga Google Play Store

Aplikacionet u zbuluan në Google Store nga Cyfirma, e cila i lidhi me grupin indian të hakerëve DoNot, i cili është gjurmuar si APT-C-35 që nga viti 2018 dhe objektivat e të cilit janë kryesisht organizata të Azisë Juglindore.

Një raport i Amnesty International i botuar në vitin 2021 e lidhi grupin me një firmë indiane të sigurisë kibernetike. Aplikacionet e përdorura nga hakerat e grupit DoNot në fushatën e fundit mbledhin informacione nga pajisjet, duke krijuar terrenin për infeksione më të rrezikshme malware, kështu që infeksioni me këto aplikacione duket të jetë faza e parë e sulmit të grupit.

Aplikacionet e dyshimta që gjenden në Google Play janë nSure Chat, iKHfaa VPN dhe Device Basics Plus. Pas këtyre aplikacioneve qëndron i njëjti botues – Security Industry. Aplikacionet janë ende të disponueshme në Google Play. Aplikacionet kanë një numër të ulët shkarkimesh, gjë që tregon se ato përdoren në mënyrë selektive kundër objektivave specifike.

Aplikacionet kërkojnë leje të rrezikshme gjatë instalimit, të tilla si aksesi në listën e kontakteve të përdoruesit dhe të dhënat e sakta të vendndodhjes. Të dhënat e mbledhura ruhen në nivel lokal dhe më vonë dërgohen në serverin C2 të sulmuesit. Në rastin e nSure Chat, adresa e serverit u vu re vitin e kaluar në sulmet nga grupi Cobalt Strike.

Kodi i aplikacionit VPN shkarkohet drejtpërdrejt nga softueri legjitim Liberty VPN.

Studiuesit besojnë se DoNot ka braktisur taktikën e dërgimit të emaileve phishing me bashkëngjitje me qëllim të keq dhe tani po fillon sulmin e saj në WhatsApp dhe Telegram. Mesazhet që viktimat marrin në këto aplikacione i drejtojnë në Dyqanin e Google Play, të cilin përdoruesit e perceptojnë si një platformë të besueshme, kështu që ata mund të mashtrohen lehtësisht për të shkarkuar aplikacionet e sugjeruara.