Des individus de la région du Pakistan ont été ciblés à l’aide de deux applications Android malveillantes disponibles sur le Google Play Store dans le cadre d’une nouvelle campagne ciblée.
La société de cybersécurité Cyfirma a attribué la campagne avec une confiance modérée à un acteur menaçant connu sous le nom de DoNot Team, également suivi sous les noms d’APT-C-35 et de Viceroy Tiger.
L’activité d’espionnage consiste à duper les propriétaires de smartphones Android en téléchargeant un programme utilisé pour extraire les données de contact et de localisation des victimes involontaires.
« Le motif de l’attaque est de collecter des informations via la charge utile du stager et d’utiliser les informations recueillies pour l’attaque de deuxième étape, en utilisant des logiciels malveillants dotés de fonctionnalités plus destructrices », a déclaré la société.
DoNot Team est un acteur présumé de la menace lié à l’Inde qui a la réputation d’avoir mené des attaques contre divers pays d’Asie du Sud. Il est actif depuis au moins 2016.
Alors qu’un rapport d’octobre 2021 d’Amnesty International a lié l’infrastructure d’attaque du groupe à une société indienne de cybersécurité appelée Innefu Labs, Group-IB, en février 2023, a déclaré avoir identifié des chevauchements entre DoNot Team et SideWinder, une autre équipe de piratage indienne présumée.
Les chaînes d’attaque montées par le groupe exploitent les e-mails de harponnage contenant des documents et des fichiers leurres comme leurres pour propager des logiciels malveillants. De plus, l’auteur de la menace est connu pour utiliser des applications Android malveillantes qui se font passer pour des utilitaires légitimes dans leurs attaques ciblées.
Ces applications, une fois installées, activent le comportement des chevaux de Troie en arrière-plan et peuvent contrôler à distance le système de la victime, en plus de voler des informations confidentielles sur les appareils infectés.
Le dernier ensemble d’applications découvertes par Cyfirma provient d’un développeur nommé « SecurITY Industry » et se fait passer pour des applications VPN et de chat, ces dernières étant toujours disponibles au téléchargement sur le Play Store –
- iKHfaa VPN (com.securityapps.ikhfaavpn) – 10+ téléchargements
- nSure Chat (com.nSureChat.application) – 100+ téléchargements
L’application VPN, qui réutilise le code source extrait du produit Liberty VPN authentique, n’est plus hébergée sur la vitrine officielle de l’application, bien que des preuves montrent qu’elle était disponible aussi récemment que le 12 juin 2023.
Le faible nombre de téléchargements indique que les applications sont utilisées dans le cadre d’une opération très ciblée, caractéristique des acteurs de l’État-nation. Les deux applications sont configurées pour inciter les victimes à leur accorder des autorisations invasives pour accéder à leurs listes de contacts et à leurs emplacements précis.
On sait peu de choses sur les victimes ciblées à l’aide des applications malveillantes, à l’exception du fait qu’elles sont basées au Pakistan. On pense que les utilisateurs ont peut-être été approchés via des messages sur Telegram et WhatsApp pour les inciter à installer les applications.
En utilisant le Google Play Store comme vecteur de distribution de logiciels malveillants, l’approche abuse de la confiance implicite placée par les utilisateurs sur le marché des applications en ligne et lui donne un air de légitimité. Il est donc essentiel que les applications soient soigneusement examinées avant de les télécharger.
« Il semble que ce malware Android ait été spécialement conçu pour la collecte d’informations », a déclaré Cyfirma. « En accédant aux listes de contacts et aux emplacements des victimes, l’acteur de la menace peut élaborer des stratégies pour de futures attaques et utiliser des logiciels malveillants Android avec des fonctionnalités avancées pour cibler et exploiter les victimes. »
