Нещодавно компанія з кібербезпеки CYFIRMA виявила підозрілі додатки для Android у магазині Google Play під ім’ям облікового запису “SecurITY Industry”. Після проведення технічного аналізу було виявлено, що ці додатки містять характеристики шкідливого ПЗ і пов’язані з відомою групою постійних постійних загроз, відомої як “DoNot”. Раніше ця група була активною в регіоні Кашмір, але тепер вона переключила свою увагу на окремих користувачів у Пакистані. Поки що мотиви цих кібератак у регіоні Південної Азії залишаються невідомими. Це викликає серйозні питання безпеки і вимагає подальшого розслідування.
CYFIRMA виявила нові стратегії зловмисників, які включають надсилання текстових повідомлень через Telegram і WhatsApp жертвам. Проведений аналіз показав, що на початковій стадії атаки програми розроблені під обліковим записом “SecurITY Industry” в Google Play Store були використані для збору інформації. Ця інформація потім буде використана на наступній стадії атаки за допомогою небезпечнішого шкідливого ПЗ. В результаті дослідження, CYFIRMA виявила три додатки для Android: Device Basic Plus, nSure Chat та iKHfaa VPN, розміщені в обліковому записі “SecurITY Industry”. З них, програми nSure Chat і iKHfaa VPN виявилися шкідливими характеристиками. Зловмисники використовували хитромудрі методи для маскування цих додатків, включаючи використання невинних бібліотек Android для збирання контактів та розташування жертв. Деякі навіть скопіювали код законного постачальника послуг VPN, додавши додаткові бібліотеки для виконання своїх шкідливих дій.
Аналіз коду, проведений CYFIRMA, виявив, що зловмисники використовували шифрування AES/CBC/PKCS5PADDING та методи обфускування Proguard для приховання шкідливого характеру додатків. Ці результати дозволили зв’язати обліковий запис Google Play Store, в якому розміщені програми, з групою APT (Advanced Persistent Threat) під назвою DoNot. Використання методів шифрування та аналогічних імен файлів, які раніше були пов’язані зі шкідливими програмами для Android, вказує на зв’язок цих програм із групою DoNot.
Певні цілі та конкретні жертви, на яких націлено це шкідливе програмне забезпечення для Android у Пакистані, поки залишаються невідомими. Однак, ґрунтуючись на характеристиках шкідливого програмного забезпечення та його функціональності, можна припустити, що зловмисники збирають інформацію для майбутніх атак з використанням більш складного шкідливого програмного забезпечення. Раніше група DoNot використовувала фішингові атаки зі шкідливими документами Word, але цей новий напрямок вказує на стратегію залучення жертв через платформи обміну повідомленнями, такі як Telegram або WhatsApp, а потім встановлення шкідливих програм з Google Play Store.
Використання довіри користувачів до Play Store дозволяє цим загрозам значно збільшити ймовірність успішної компрометації. Детальна перевірка дозволів у процесі завантаження програм у Play Store є необхідним кроком для запобігання таким шкідливим програмам, які обходять перевірки безпеки.
Хочу подякувати вам за те, що ви витрачаєте свій час та енергію, щоб залишати коментарі, ділитися своїми думками та ставити запитання. Ваші відгуки та думки допомагають мені краще зрозуміти, що вам цікаво, і на що варто звернути увагу у моєму контенті.
Я хочу, щоб ви знали, що ваша участь на цій сторінці дійсно важлива для мене. Ваші коментарі мотивують мене продовжувати ділитися інформацією, відповідати на запитання та створювати контент, який буде корисним та цікавим для вас.
