Три апликации за Android на Google Play биле искористени за сајбер шпионажа и собирање разузнавачки информации од целни уреди, како што се податоци за локација и списоци со контакти.
Апликациите беа откриени во продавницата на Google од Cyfirma, која ги поврза со индиската хакерска група DoNot, која се следи како APT-C-35 од 2018 година, а чии цели се претежно организации од Југоисточна Азија.
Извештајот на Amnesty International објавен во 2021 година ја поврзува групата со индиска фирма за сајбер безбедност.
Апликациите што ги користат хакерите од групата DoNot во најновата кампања собираат информации од уреди, подготвувајќи го теренот за поопасни инфекции со малициозен софтвер, па инфекцијата со овие апликации се чини дека е првата фаза од нападот на групата.
Сомнителни апликации пронајдени на Google Play се nSure Chat, iKHfaa VPN и Device Basics Plus. Зад овие апликации стои истиот издавач - Security Industry. Апликациите сè уште се достапни на Google Play. Апликациите имаат мал број преземања, што покажува дека се користат селективно против одредени цели.
Апликациите бараат ризични дозволи за време на инсталацијата, како што се пристап до списокот со контакти на корисникот и прецизни податоци за локацијата. Собраните податоци се чуваат локално и подоцна се испраќаат до серверот C2 на напаѓачот. Во случајот со nSure Chat, адресата на серверот беше забележана минатата година во нападите на групата Cobalt Strike.
Кодот на апликацијата VPN е преземен директно од легитимниот софтвер Liberty VPN.
Истражувачите веруваат дека DoNot ја напуштил тактиката на испраќање phishing-мејлови со малициозни прилози и сега го започнува својот напад на WhatsApp и Telegram. Пораките што жртвите ги добиваат во овие апликации ги упатуваат до продавницата на Google Play, која корисниците ја доживуваат како доверлива платформа, за да можат лесно да бидат измамени да ги преземат предложените апликации.