Investigadores de cibersegurança descobriram três apps na Google Play Store utilizadas por piratas informáticos para recolher informações de dispositivos. Estas informações incluem dados de localização e listas de contactos das vítimas. De acordo com um relatório da empresa de cibersegurança Cyfirma, a operação atribui-se ao grupo de piratas informáticos “DoNot”.
Três apps na Play Store recolheram dados que não deviam!
O grupo de piratas informáticos tem visado organizações de alto nível no Sudeste Asiático desde 2018, como relata o site Bleeping Computer.
Entretanto as aplicações utilizadas na última campanha do DoNot recolhem informações básicas. No entanto, estes dados podem ajudar o grupo de ameaça a preparar o terreno para ataques de malware mais perigosos. A última campanha também representa a primeira fase dos ataques do grupo.
De acordo com a Cyfirma, as aplicações suspeitas que alegadamente estão a espalhar spyware para recolher dados estão disponíveis na Google Play Store. Ambas as aplicações, nSure Chat e iKHfaa VPN, foram carregadas por um programador chamado “SecurITY Industry”.
O mesmo programador também tem uma terceira aplicação na Play Store que não parece ser maliciosa para a Cyfirma. Entretanto depois de uma pesquisa na Play Store, a VPN iKHfaa desapareceu e também a nSure Chat que ainda ontem se podia descarregar.
A boa notícia é que o número de descarregamentos das aplicações desenvolvidas pela “SecurITY Industry” é comparativamente baixo. Isto sugere que estas aplicações são utilizadas seletivamente contra alvos específicos.
Como é que estas aplicações estão a roubar dados
O relatório afirma que estas aplicações solicitam aos utilizadores permissões de risco durante a instalação. Estas permissões incluem o acesso à lista de contactos do utilizador e a dados de localização precisos. As aplicações recolhem depois estes dados e enviam-nos para o atacante.
No entanto, para aceder à localização atual do alvo, o GPS do dispositivo da vítima tem de estar ativo. Noutros casos, a aplicação vai buscar a última localização conhecida. Entretanto os dados recolhidos são armazenados localmente utilizando a biblioteca ROOM do Android. Estes dados são posteriormente enviados para o servidor C2 do atacante através de um pedido HTTP.
Para além disso os analistas da Cyfirma também descobriram que a base de código da aplicação VPN dos hackers pertence ao serviço legítimo Liberty VPN.
Como a Cyfirma associou a operação ao DoNot
A empresa de segurança atribuiu a campanha ao grupo de ameaças DoNot com base no uso específico de linhas encriptadas. As técnicas associam-se ao suposto grupo de hackers. A empresa também descobriu que certos nomes de ficheiros gerados pelas aplicações maliciosas também estavam associados a campanhas anteriores do DoNot.
Os investigadores da Cyfirma sugerem que os atacantes abandonaram a tática de enviar e-mails de phishing com anexos maliciosos. Em vez disso, o grupo está agora a empregar táticas de ataque por mensagens de lança através das plataformas de mensagens WhatsApp e Telegram. As ligações enviadas através de mensagens diretas nestas aplicações remetem as vítimas para a Google Play Store. A loja de aplicações do Android é uma plataforma de confiança, o que também ajuda o ataque a ser legítimo. Isto ajuda os atacantes a enganar facilmente as vítimas para que descarreguem as aplicações sugeridas.
