I ricercatori di Cyfirma hanno scoperto tre app Android sospette sul Google Play Store, tutte pubblicate da SecurITY Industry. Dopo aver effettuato un’analisi approfondita hanno rilevato tracce di uno spyware in due app camuffate da chat e VPN. Probabile che il malware venga utilizzato per raccogliere informazioni sul dispositivo ed effettuare un attacco successivo.
Spyware in app Android per chat e VPN
Le tre app sono Device Basic Plus, nSure Chat e iKHfaa VPN. Le ultime due chiedono il permesso di accedere ai contatti e alla posizione geografica, informazioni solitamente raccolte dagli spyware. Analizzando il codice e le funzionalità, i ricercatori di Cyfirma hanno attribuito le app al gruppo indiano DoNot.
Al primo avvio di iKHfaa VPN viene chiesto il permesso di accesso al servizio di localizzazione di Android. L’app è una versione modificata di Liberty VPN. nSure Chat chiede invece il permesso di accesso ai contatti, ma entrambe raccolgono informazioni su posizione geografica e contatti.
I dati vengono rubati e memorizzati attraverso la libreria ROOM di Android, usando istruzioni SQLite. La libreria Retrofit gestisce invece la comunicazione HTTP con il server C&C (command and control). Gli esperti di Cyfirma hanno scoperto che le tecniche usate per offuscare il codice indicano chiaramente che le due app sono state sviluppate dal gruppo indiano DoNot.
I cybercriminali, attivi dal 2016, colpiscono principalmente aziende di telecomunicazioni, militari, governi, ambasciate e NGO asiatici. Le app spyware vengono installate dalle vittime dopo aver ricevuto messaggi tramite WhatsApp e Telegram. Anche se le app sono presenti sul Google Play Store non è detto che siano “pulite”.