Sebagai bagian dari kampanye bertarget baru, individu di wilayah Pakistan telah ditargetkan menggunakan dua aplikasi Android berbahaya yang tersedia di Google Play Store sebagai vektor distribusi malware.
Perusahaan keamanan siber Cyfirma mengaitkan kampanye tersebut dengan kepercayaan sedang dengan pelaku ancaman DoNot Team, yang juga dilacak sebagai APT-C-35 dan Viceroy Tiger. DoNot Team adalah tersangka aktor ancaman perhubungan India yang memiliki reputasi melakukan serangan terhadap berbagai negara di Asia Selatan, telah aktif setidaknya sejak 2016.
Tim DoNot, dikaitkan dengan perusahaan keamanan siber India bernama Innefu Labs dan juga memiliki tumpang tindih dengan kelompok peretas lain bernama SideWinder. Grup ini menggunakan email spear-phishing, dokumen palsu, dan aplikasi Android jahat yang menyamar sebagai utilitas sah untuk menyebarkan malware.
Motif serangan itu adalah untuk mengumpulkan informasi melalui muatan stager dan menggunakannya untuk serangan tahap kedua, menggunakan malware dengan fitur yang lebih merusak.
Kegiatan spionase tersebut melibatkan pembodohan pemilik smartphone Android untuk mengunduh program yang digunakan untuk mengekstrak data kontak dan lokasi dari korban tanpa disadari.
Aplikasi-aplikasi terbaru yang ditemukan oleh Cyfirma dikembangkan oleh “Industri Keamanan” dan dianggap sebagai aplikasi VPN dan obrolan. Salah satunya adalah iKHfaa VPN dengan unduhan lebih dari 10 dan nSure Chat dengan unduhan lebih dari 100. Meskipun aplikasi VPN ini tidak lagi tersedia di Play Store, bukti menunjukkan bahwa aplikasi tersebut masih tersedia pada 12 Juni 2023.
Jumlah unduhan yang rendah menunjukkan bahwa aplikasi-aplikasi tersebut digunakan dalam operasi yang sangat ditargetkan oleh aktor negara-bangsa. Aplikasi-aplikasi ini dimodifikasi untuk meminta izin invasif kepada korban agar dapat mengakses daftar kontak dan lokasi yang tepat.
Tidak banyak yang diketahui tentang korban yang ditargetkan menggunakan aplikasi nakal ini, kecuali bahwa mereka berbasis di Pakistan. Diduga pengguna didekati melalui pesan di Telegram dan WhatsApp untuk mengundang mereka memasang aplikasi.
Pendekatan menyalahgunakan kepercayaan pengguna terhadap pasar aplikasi online dan memberikan kesan legitimasi. Oleh karena itu, penting bagi pengguna untuk memeriksa aplikasi dengan cermat sebelum mengunduhnya.
Selengkapnya: The Hacker News
