افراد در منطقه پاکستان با استفاده از دو برنامه اندروید موجود در فروشگاه Google Play به عنوان بخشی از یک کمپین هدفمند جدید مورد هدف قرار گرفته اند.
شرکت امنیت سایبری Cyfirma این کمپین را با اعتماد به نفس متوسطی به یک عامل تهدید به نام DoNot Team نسبت داد که با نامهای APT-C-35 و Viceroy Tiger نیز ردیابی میشود.
فعالیت جاسوسی شامل فریب دادن صاحبان گوشی های هوشمند اندرویدی برای دانلود برنامه ای است که برای استخراج اطلاعات تماس و مکان از قربانیان ناخواسته استفاده می شود.
این شرکت گفت: "انگیزه پشت این حمله جمع آوری اطلاعات از طریق بار استیدر و استفاده از اطلاعات جمع آوری شده برای حمله مرحله دوم، با استفاده از بدافزار با ویژگی های مخرب تر است."
DoNot Team یک عامل تهدید مظنون به ارتباط هند است که به انجام حملات علیه کشورهای مختلف در جنوب آسیا شهرت دارد. حداقل از سال 2016 فعال بوده است.
در حالی که گزارش اکتبر 2021 عفو بینالملل، زیرساختهای حمله این گروه را به یک شرکت امنیت سایبری هندی به نام Innefu Labs مرتبط میکرد، Group-IB، در فوریه 2023، گفت که همپوشانیهایی را بین DoNot Team و SideWinder، یکی دیگر از خدمه هک با منشأ هندی شناسایی کرد.
زنجیرههای حمله نصبشده توسط این گروه از ایمیلهای فیشینگ نیزهای حاوی اسناد و فایلهای فریبنده به عنوان فریب برای انتشار بدافزار استفاده میکنند. علاوه بر این، عامل تهدید به استفاده از برنامههای مخرب اندرویدی که به عنوان ابزارهای مشروع در حملات هدف خود ظاهر میشوند، شناخته شده است.
این برنامهها، پس از نصب، رفتار تروجان را در پسزمینه فعال میکنند و میتوانند از راه دور سیستم قربانی را کنترل کنند، علاوه بر این، اطلاعات محرمانه را از دستگاههای آلوده به سرقت میبرند.
آخرین مجموعه از برنامه های کشف شده توسط Cyfirma از توسعه دهنده ای به نام "SecurITY Industry" سرچشمه می گیرد و به عنوان برنامه های VPN و چت ارائه می شود، که مورد دوم هنوز برای دانلود از فروشگاه Play در دسترس است -
iKHfaa VPN (com.securityapps.ikhfaavpn) - بیش از 10 بار دانلود
nSure Chat (com.nSureChat.application) - بیش از 100 بار دانلود
برنامه VPN، که از کد منبع گرفته شده از محصول واقعی Liberty VPN استفاده مجدد میکند، دیگر در فروشگاه رسمی برنامه میزبانی نمیشود، اگرچه شواهد نشان میدهد که این برنامه به تازگی در 12 ژوئن 2023 در دسترس بوده است.
تعداد کم دانلود نشان می دهد که برنامه ها به عنوان بخشی از یک عملیات بسیار هدفمند استفاده می شوند، که مشخصه بازیگران دولت-ملت است. هر دو برنامه به گونهای پیکربندی شدهاند که قربانیان را فریب دهند تا به آنها مجوزهای تهاجمی برای دسترسی به لیست مخاطبین و مکانهای دقیق اعطا کنند.
اطلاعات کمی در مورد قربانیانی که با استفاده از اپلیکیشنهای سرکش هدف قرار گرفتهاند، بدون اینکه در پاکستان مستقر هستند، وجود داشته باشد. گمان میرود که کاربران از طریق پیامهایی در تلگرام و واتساپ برای ترغیب آنها به نصب برنامهها تماس گرفته شده باشند.
با استفاده از فروشگاه Google Play به عنوان یک بردار توزیع بدافزار، این رویکرد از اعتماد ضمنی کاربران در بازار برنامه آنلاین سوء استفاده می کند و به آن مشروعیت می بخشد. بنابراین ضروری است که برنامه ها قبل از دانلود به دقت بررسی شوند.
Cyfirma گفت: "به نظر می رسد که این بدافزار اندرویدی به طور خاص برای جمع آوری اطلاعات طراحی شده است." عامل تهدید با دسترسی به لیست تماسها و مکانهای قربانیان، میتواند حملات آینده را استراتژیبندی کند و از بدافزار اندرویدی با ویژگیهای پیشرفته برای هدف قرار دادن و سوء استفاده از قربانیان استفاده کند.»
شرکت امنیت سایبری Cyfirma این کمپین را با اعتماد به نفس متوسطی به یک عامل تهدید به نام DoNot Team نسبت داد که با نامهای APT-C-35 و Viceroy Tiger نیز ردیابی میشود.
فعالیت جاسوسی شامل فریب دادن صاحبان گوشی های هوشمند اندرویدی برای دانلود برنامه ای است که برای استخراج اطلاعات تماس و مکان از قربانیان ناخواسته استفاده می شود.
این شرکت گفت: "انگیزه پشت این حمله جمع آوری اطلاعات از طریق بار استیدر و استفاده از اطلاعات جمع آوری شده برای حمله مرحله دوم، با استفاده از بدافزار با ویژگی های مخرب تر است."
DoNot Team یک عامل تهدید مظنون به ارتباط هند است که به انجام حملات علیه کشورهای مختلف در جنوب آسیا شهرت دارد. حداقل از سال 2016 فعال بوده است.
در حالی که گزارش اکتبر 2021 عفو بینالملل، زیرساختهای حمله این گروه را به یک شرکت امنیت سایبری هندی به نام Innefu Labs مرتبط میکرد، Group-IB، در فوریه 2023، گفت که همپوشانیهایی را بین DoNot Team و SideWinder، یکی دیگر از خدمه هک با منشأ هندی شناسایی کرد.
زنجیرههای حمله نصبشده توسط این گروه از ایمیلهای فیشینگ نیزهای حاوی اسناد و فایلهای فریبنده به عنوان فریب برای انتشار بدافزار استفاده میکنند. علاوه بر این، عامل تهدید به استفاده از برنامههای مخرب اندرویدی که به عنوان ابزارهای مشروع در حملات هدف خود ظاهر میشوند، شناخته شده است.
این برنامهها، پس از نصب، رفتار تروجان را در پسزمینه فعال میکنند و میتوانند از راه دور سیستم قربانی را کنترل کنند، علاوه بر این، اطلاعات محرمانه را از دستگاههای آلوده به سرقت میبرند.
آخرین مجموعه از برنامه های کشف شده توسط Cyfirma از توسعه دهنده ای به نام "SecurITY Industry" سرچشمه می گیرد و به عنوان برنامه های VPN و چت ارائه می شود، که مورد دوم هنوز برای دانلود از فروشگاه Play در دسترس است -
iKHfaa VPN (com.securityapps.ikhfaavpn) - بیش از 10 بار دانلود
nSure Chat (com.nSureChat.application) - بیش از 100 بار دانلود
برنامه VPN، که از کد منبع گرفته شده از محصول واقعی Liberty VPN استفاده مجدد میکند، دیگر در فروشگاه رسمی برنامه میزبانی نمیشود، اگرچه شواهد نشان میدهد که این برنامه به تازگی در 12 ژوئن 2023 در دسترس بوده است.
تعداد کم دانلود نشان می دهد که برنامه ها به عنوان بخشی از یک عملیات بسیار هدفمند استفاده می شوند، که مشخصه بازیگران دولت-ملت است. هر دو برنامه به گونهای پیکربندی شدهاند که قربانیان را فریب دهند تا به آنها مجوزهای تهاجمی برای دسترسی به لیست مخاطبین و مکانهای دقیق اعطا کنند.
اطلاعات کمی در مورد قربانیانی که با استفاده از اپلیکیشنهای سرکش هدف قرار گرفتهاند، بدون اینکه در پاکستان مستقر هستند، وجود داشته باشد. گمان میرود که کاربران از طریق پیامهایی در تلگرام و واتساپ برای ترغیب آنها به نصب برنامهها تماس گرفته شده باشند.
با استفاده از فروشگاه Google Play به عنوان یک بردار توزیع بدافزار، این رویکرد از اعتماد ضمنی کاربران در بازار برنامه آنلاین سوء استفاده می کند و به آن مشروعیت می بخشد. بنابراین ضروری است که برنامه ها قبل از دانلود به دقت بررسی شوند.
Cyfirma گفت: "به نظر می رسد که این بدافزار اندرویدی به طور خاص برای جمع آوری اطلاعات طراحی شده است." عامل تهدید با دسترسی به لیست تماسها و مکانهای قربانیان، میتواند حملات آینده را استراتژیبندی کند و از بدافزار اندرویدی با ویژگیهای پیشرفته برای هدف قرار دادن و سوء استفاده از قربانیان استفاده کند.»