印度黑客组织利用恶意应用程序进行间谍活动

文章重点

• 恶意应用程序 : 印度国家支持的黑客组织DoNot利用三款安卓应用进行间谍活动。
• 应用名称 : 受影响的应用分别为「nSure Chat」和「iKHfaa VPN」。
• 资料访问和窃取 : 恶意应用请求访问设备的联系人和位置数据。
• 流量分析 : 间谍程序透过HTTP请求将数据发送至DoNot的指挥控制伺服器。
• 攻击方式变化 : DoNot逐步转向WhatsApp和Telegram的网络钓鱼攻击。

根据的报导，印度国家支持的黑客组织DoNot（又称APT-C-35）利用SecurITY Industry在GooglePlay商店上发布的三款安卓应用进行间谍活动，旨在促进情报搜集。根据Cyfirma的报告，发现的两款恶意应用「nSure Chat」和「iKHfaaVPN」正在寻求可疑的权限，包括访问设备联络人列表和精确位置数据，这使得这些数据可以被窃取并存储，然后通过Android的ROOM库在向DoNot的命令与控制伺服器发送HTTP请求之前进行发送。

进一步分析显示，「nSure Chat」的伺服器地址与去年Cobalt Strike入侵事件中使用的地址相同，而「iKHfaaVPN」的代码基础则是从LibertyVPN应用中复制而来。这一计划的归属于DoNot是基于其使用的Proguard混淆技术和基于AES/CBC/PKCS5PADDING算法的加密字符串。此外，报告还指出DoNot已经开始转向以WhatsApp和Telegram为基础的钓鱼攻击手段。

重要提示：用户应提高警觉，对于来历不明的应用提升警惕，并且定期检查和更新安全设置，以防止个人资料泄露。

更多信息

相关连结