Недавно компания по кибербезопасности CYFIRMA обнаружила подозрительные приложения для Android в магазине Google Play под именем учетной записи "SecurITY Industry". После проведения технического анализа было выявлено, что эти приложения содержат характеристики вредоносного ПО и связаны с известной группой продвинутых постоянных угроз, известной как "DoNot". Ранее эта группа была активна в регионе Кашмир, но теперь она переключила свое внимание на отдельных пользователей в Пакистане. Пока мотивы этих кибератак в регионе Южной Азии остаются неизвестными. Это вызывает серьезные вопросы о безопасности и требует дальнейшего расследования.
CYFIRMA обнаружила новые стратегии злоумышленников, которые включают отправку текстовых сообщений через Telegram и WhatsApp жертвам. Проведенный анализ показал, что на начальной стадии атаки, приложения разработанные под учетной записью "SecurITY Industry" в Google Play Store, были использованы для сбора информации. Эта информация затем будет использована на следующей стадии атаки с помощью более опасного вредоносного ПО. В результате исследования, CYFIRMA выявила три приложения для Android: Device Basic Plus, nSure Chat и iKHfaa VPN, размещенные в учетной записи "SecurITY Industry". Из них, приложения nSure Chat и iKHfaa VPN обнаружились содержащими вредоносные характеристики. Злоумышленники использовали хитроумные методы для маскировки этих приложений, включая использование невинных библиотек Android для сбора контактов и местоположения жертв. Некоторые из них даже скопировали код законного поставщика услуг VPN, добавив дополнительные библиотеки для выполнения своих вредоносных действий.
Анализ кода, проведенный CYFIRMA, выявил, что злоумышленники использовали шифрование AES/CBC/PKCS5PADDING и методы обфускации Proguard для скрытия вредоносного характера приложений. Эти результаты позволили связать учетную запись Google Play Store, в которой размещены приложения, с группой APT (Advanced Persistent Threat) под названием DoNot. Использование методов шифрования и аналогичных имен файлов, которые ранее были связаны с вредоносными программами для Android, указывает на связь этих приложений с группой DoNot.
Определенные цели и конкретные жертвы, на которых нацелено это вредоносное ПО для Android в Пакистане, пока остаются неизвестными. Однако, основываясь на характеристиках вредоносного ПО и его функциональности, можно предположить, что злоумышленники собирают информацию для будущих атак с использованием более сложного вредоносного ПО. Ранее группа DoNot использовала фишинговые атаки с вредоносными документами Word, но это новое направление указывает на стратегию привлечения жертв через платформы обмена сообщениями, такие как Telegram или WhatsApp, и затем установку вредоносных приложений из Google Play Store.
Использование доверия пользователей к Play Store позволяет этим угрозам значительно увеличить вероятность успешной компрометации. Подробная проверка разрешений в процессе загрузки приложений в Play Store является необходимым шагом для предотвращения таких вредоносных приложений, которые обходят проверки безопасности.
Хочу поблагодарить вас за то, что вы тратите свое время и энергию, чтобы оставлять комментарии, делиться своими мыслями и задавать вопросы. Ваши отзывы и мнения помогают мне лучше понять, что вам интересно, и на что стоит обратить внимание в моем контенте.
Я хочу, чтобы вы знали, что ваше участие на этой странице действительно важно для меня. Ваши комментарии мотивируют меня продолжать делиться информацией, отвечать на вопросы и создавать контент, который будет полезен и интересен для вас.
