جاسوس‌افزارهای اندرویدی با نقاب VPN و پیام‌رسان در گوگل پلی

محققان چند بدافزار را در گوگل پلی کشف کرده‌اند که در قالب VPN و برنامه‌های چت در حال دانلود شدن هستند.
 
به گزارش افتانا به نقل از بلیپینگ کامپیوتر، سه برنامه اندرویدی در گوگل پلی توسط عوامل تهدید مورد حمایت دولت برای جمع‌آوری اطلاعات از دستگاه‌های هدف مانند داده‌های موقعیت مکانی و لیست‌های مخاطبان استفاده شد.
 
برنامه‌های مخرب اندروید توسط Cyfirma کشف شدند که با اطمینان این عملیات را به گروه هکری هندی «DoNot» نسبت داد که با نام APT-C-35 نیز ردیابی می‌شود و حداقل از سال ۲۰۱۸ سازمان‌های برجسته در جنوب شرقی آسیا را هدف قرار داده است.
 
در سال ۲۰۲۱، یک گزارش عفو بین‌الملل این گروه تهدید را به یک شرکت امنیت سایبری هندی مرتبط کرد و بر یک کمپین توزیع نرم‌افزار جاسوسی که همچنین به یک برنامه چت جعلی متکی بود، تأکید داشت.
 
برنامه‌های مورد استفاده در آخرین کمپین DoNot، جمع‌آوری اطلاعات اولیه را انجام می‌دهند تا زمینه را برای آلودگی‌های بدافزار خطرناک‌تر آماده کنند که به نظر می‌رسد اولین مرحله از حملات این گروه تهدید باشد.
 
برنامه‌های مشکوک کشف شده توسط Cyfirma در گوگل پلی عبارتند از nSure Chat و iKHfaa VPN که هر دو توسط «SecurITY Industry» آپلود شده‌اند.
 
هر دو برنامه و برنامه سوم از یک ناشر، که طبق Cyfirma مخرب به نظر نمی‌رسند، در گوگل پلی در دسترس هستند.

 
تعداد دانلود برای همه برنامه‌های SecurITY Industry کم است که نشان می‌دهد آن‌ها به‌طور انتخابی علیه اهداف خاص استفاده می‌شوند.
 
این دو برنامه در حین نصب، مجوزهای خطرناکی مانند دسترسی به لیست مخاطبان کاربر (READ_CONTACTS) و داده‌های مکان دقیق (ACCESS_FINE_LOCATION) درخواست می‌کنند تا این اطلاعات را به عامل تهدید منتقل کنند.

 
توجه داشته باشید که برای دسترسی به مکان هدف، GPS باید فعال باشد، در غیر این صورت، برنامه آخرین مکان شناخته شده دستگاه را استخراج می‌کند.
 
داده‌های جمع‌آوری شده به صورت محلی با استفاده از کتابخانه ROOM اندروید ذخیره می‌شود و بعداً از طریق یک درخواست HTTP به سرور C2 مهاجم ارسال می‌شود.

 
آدرس سرور C2 مهاجمان برای برنامه VPN به این شرح است: https[:]ikhfaavpn[.]com. این در حالی است که آدرس سرور اپلیکیشن nSure Chat سال گذشته در عملیات Cobalt Strike دیده شده بود.
 
تحلیلگران Cyfirma دریافتند که پایه کد برنامه VPN هکرها مستقیماً از محصول قانونی Liberty VPN گرفته شده است.

 
انتساب این کمپین به گروه تهدید DoNot توسط Cyfirma بر اساس استفاده خاص از رشته‌های رمزگذاری شده با استفاده از الگوریتم AES/CBC/PKCS5PADDING و مبهم سازی Proguard است که هر دو تکنیک مرتبط با هکرهای هندی هستند.
 
علاوه بر این، برخی شباهت‌ها در نام‌گذاری فایل‌های خاص تولیدشده توسط برنامه‌های مخرب وجود دارد که آن‌ها را به کمپین‌های DoNot گذشته مرتبط می‌کند.
 
محققان بر این باورند که مهاجمان تاکتیک ارسال ایمیل‌های فیشینگ حاوی پیوست‌های مخرب را به نفع حملات پیام‌رسانی نیزه‌ای (هدفمند) از طریق واتس‌اپ و تلگرام کنار گذاشته‌اند.
 
پیام‌های مستقیم در این برنامه‌ها،  قربانیان را به فروشگاه گوگل پلی هدایت می‌کند؛ یک پلتفرم قابل اعتماد که به حمله مشروعیت می‌بخشد،  بنابراین می‌توان آن‌ها را به راحتی فریب داد تا برنامه‌های پیشنهادی را دانلود کنند.
 
یکی از سخنگویان گوگل در واکنش به این خبر اعلام کرد: این برنامه‌ها از Google Play حذف شده و توسعه‌دهنده نیز از ادامه فعالیت منع شده است. Google Play Protect از کاربران در برابر برنامه‌های شناخته شده حاوی این بدافزار در دستگاه‌های اندروید با سرویس‌های گوگل پلی محافظت می‌کند، حتی زمانی که این برنامه‌ها از منابع دیگر آمده باشند.
 
منبع: Bleeping Computer