Trois applications Android sur Google Play ont été utilisées par des pirates parrainés par l’État pour collecter des renseignements à partir d’appareils ciblés, tels que des données de localisation et des listes de contacts.
Les applications Android malveillantes ont été découvertes par Cyfirma, qui a attribué l’opération avec une confiance moyenne au groupe de piratage indien « DoNot », également suivi sous le nom d’APT-C-35, qui cible des organisations de premier plan en Asie du Sud-Est depuis au moins 2018.
En 2021, un rapport d’Amnesty International a lié le groupe de menaces à une entreprise indienne de cybersécurité et a mis en évidence une campagne de distribution de logiciels espions qui s’appuyait également sur une fausse application de chat.
Les applications utilisées dans la dernière campagne de DoNot collectent des informations de base pour préparer le terrain à des infections de logiciels malveillants plus dangereux, ce qui semble être la première étape des attaques du groupe de menaces.
Applications du Play Store
Les applications suspectes trouvées par Cyfirma sur Google Play sont nSure Chat et iKHfaa VPN, toutes deux téléchargées depuis « SecurITY Industry ».
Les deux applications et une troisième du même éditeur, qui n’apparaît pas malveillante selon Cyfirma, restent disponibles sur Google Play.
Le nombre de téléchargements est faible pour toutes les applications de SecurITY Industry, ce qui indique qu’elles sont utilisées de manière sélective contre des cibles spécifiques.
Les deux applications demandent des autorisations risquées lors de l’installation, telles que l’accès à la liste de contacts de l’utilisateur (READ_CONTACTS) et des données de localisation précises (ACCESS_FINE_LOCATION), pour exfiltrer ces informations à l’acteur de la menace.
Notez que pour accéder à l’emplacement de la cible, le GPS doit être actif, sinon, l’application récupère le dernier emplacement connu de l’appareil.
Les données collectées sont stockées localement à l’aide de la bibliothèque ROOM d’Android, puis envoyées au serveur C2 de l’attaquant via une requête HTTP.
Le C2 de l’application VPN est « https[:]ikhfaavpn[.]com ». Dans le cas de nSure Chat, l’adresse de serveur observée a été vue l’année dernière dans les opérations de Cobalt Strike.
Les analystes de Cyfirma ont découvert que la base de code de l’application VPN des pirates provenait directement du produit Liberty VPN légitime.
Cibles, tactiques, attribution
L’attribution par Cyfirma de la campagne au groupe de menaces DoNot est basée sur l’utilisation spécifique de chaînes cryptées utilisant l’algorithme AES/CBC/PKCS5PADDING et l’obscurcissement Proguard, deux techniques associées aux pirates indiens.
De plus, il existe des coïncidences improbables dans la dénomination de certains fichiers générés par les applications malveillantes, les reliant à des campagnes DoNot passées.
Les chercheurs pensent que les attaquants ont abandonné la tactique consistant à envoyer des e-mails de phishing contenant des pièces jointes malveillantes au profit d’attaques de messagerie de lance via WhatsApp et Telegram.
Les messages directs sur ces applications dirigent les victimes vers le Google Play Store, une plate-forme de confiance qui confère une légitimité à l’attaque, afin qu’elles puissent être facilement amenées à télécharger des applications suggérées.
Quant aux cibles de la dernière campagne de DoNot, on sait peu de choses à leur sujet si ce n’est qu’elles sont basées au Pakistan.