Tri Android aplikacije na Google Play korištene su kao malver za cybder špijunažu i prikupljanje obavještajnih podataka sa ciljanih uređaja, kao što su podaci o lokaciji i liste kontakata.
Aplikacije je u Googleovoj prodavnici otkrila Cyfirma, koja ih je povezala sa indijskom hakerskom grupom DoNot, praćenoj kao APT-C-35, koja djeluje od 2018. godine, i čije su mete uglavnom organizacije u jugoistočnoj Aziji.
Izvještaj Amnesty Internationala, objavljen 2021., povezao je grupu sa jednom indijskom firmom za cyber sigurnost.
Aplikacije koje hakeri iz grupe DoNot koriste u najnovijoj kampanji prikupljaju informacije sa uređaja pripremajući teren za opasnije infekcije malverom, pa se infekcija ovim aplikacijama čini kao prva faza napada grupe.
Sumnjive aplikacije pronađene na Google Play su nSure Chat, iKHfaa VPN i Device Basics Plus. Iza ovih aplikacija stoji isti izdavač - SecurITY Industry. Aplikacije su i dalje dostupne na Google Play. Aplikacije imaju mali broj preuzimanja, što ukazuje da se koriste selektivno protiv određenih ciljeva.
Aplikacije zahtijevaju rizične dozvole tokom instalacije, kao što je pristup listi kontakata korisnika i preciznim podacima o lokaciji. Prikupljeni podaci se čuvaju lokalno i kasnije šalju na C2 server napadača. U slučaju nSure Chata, adresa servera je viđena prošle godine u napadima grupe Cobalt Strike.
Kod VPN aplikacije preuzet je direktno iz legitimnog softvera Liberty VPN.
Istraživači veruju da je DoNot odustao od taktike slanja fišing imejlova sa zlonamernim prilozima i da sada njihov napad počinje na WhatsAppu i Telegramu. Poruke koje žrtve dobiju u ovim aplikacijama usmjeravaju ih na Google Play prodavnicu, koju korisnici doživljavaju kao pouzdanu platformu, tako da se lako mogu prevariti da preuzmu predložene aplikacije.