国家支持的黑客组织使用 Google Play 上的三个 Android 应用程序从目标设备收集情报，例如位置数据和联系人列表。

这些恶意 Android 应用程序是由Cyfirma发现的 ，他以中等可信度将此操作归因于印度黑客组织“DoNot Team”，该组织也被追踪为 APT-C-35，该组织至少从 2018 年开始就以东南亚的知名组织为目标。

2021 年， 一份报告将APT组织与一家印度网络安全公司联系起来，并强调了一项同样依赖于虚假聊天应用程序的间谍软件分发活动。

DoNot Team最新活动中使用的应用程序执行基本信息收集，为更危险的恶意软件感染做好准备，这似乎是APT组织攻击的第一阶段。

Google Play 商店分发恶意应用

Cyfirma 在 Google Play 上发现的可疑应用程序是 nSure Chat 和 iKHfaa VPN，它们都是从“SecurITY Industry”上传的。

根据 Cyfirma 的说法，这两款应用程序和来自同一发行商的第三款应用程序似乎没有恶意，但仍可在 Google Play 上使用。

SecurITY Industry 的所有应用程序的下载量都很低，表明它们被选择性地用于特定目标。

这两个应用程序在安装期间请求风险权限，例如访问用户的联系人列表 (READ_CONTACTS) 和精确位置数据 (ACCESS_FINE_LOCATION)，以将此信息泄露给威胁参与者。

请注意，要访问目标的位置，GPS 需要处于活动状态，否则，应用程序会获取最后已知的设备位置。

收集到的数据使用 Android 的 ROOM 库存储在本地，然后通过 HTTP 请求发送到攻击者的 C2 服务器。

VPN 应用程序的 C2 是“https[:]ikhfaavpn[.]com”。就 nSure Chat 而言，观察到的服务器地址是去年在 Cobalt Strike 操作中看到的。

Cyfirma 的分析师发现，黑客 VPN 应用程序的代码库直接取自合法的 Liberty VPN 产品。

目标、战术、归因

Cyfirma 将此活动归因于 DoNot Team APT组织是基于使用 AES/CBC/PKCS5PADDING 算法和 Proguard 混淆的加密字符串的特定使用，这两种技术都与印度黑客有关。

此外，恶意应用程序生成的某些文件的命名存在一些不太可能的巧合，将它们与过去的 DoNot 活动联系起来。

研究人员认为，攻击者已经放弃了发送带有恶意附件的网络钓鱼电子邮件的策略， 转而通过 WhatsApp 和 Telegram 进行鱼叉式消息攻击。

这些应用程序上的直接消息将受害者引导至 Google Play 商店，这是一个为攻击提供合法性的可信平台，因此他们很容易被诱骗下载攻击者建议的应用程序。

至于 DoNot 最新活动的目标，除了他们位于巴基斯坦之外，对他们知之甚少。