{"id":4994,"date":"2023-06-23T00:32:54","date_gmt":"2023-06-22T22:32:54","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4994"},"modified":"2023-06-23T00:32:54","modified_gmt":"2023-06-22T22:32:54","slug":"donot-apt-aplikacije-u-google-play-prodavnici","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/06\/23\/donot-apt-aplikacije-u-google-play-prodavnici\/","title":{"rendered":"DoNot APT aplikacije u Google Play prodavnici"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>DoNot<\/em> <em>APT<\/em> hakerska grupa je postavila <em>Android<\/em> zlonamjerne aplikacije u <em>Google<\/em> <em>Play<\/em> prodavnici pod nalogom \u201c<em>SecurITY Industry<\/em>\u201d. Grupa je otkrivena od strane <a href=\"https:\/\/www.cyfirma.com\/outofband\/donot-apt-elevates-its-tactics-by-deploying-malicious-android-apps-on-google-play-store\/\" target=\"_blank\" rel=\"noopener\">sigurnosnih istra\u017eiva\u010da kompanije <em>Cyfirma<\/em><\/a>.<\/span><\/p>\n<div id=\"attachment_4996\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-4996\" class=\"size-full wp-image-4996\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/android.jpg\" alt=\"android\" width=\"1024\" height=\"640\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/android.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/android-300x188.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/android-768x480.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/android-18x12.jpg 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-4996\" class=\"wp-caption-text\"><em>Source: <a href=\"https:\/\/wallpapercave.com\/w\/wp5262973\" target=\"_blank\" rel=\"noopener\">Wallpapercave<\/a>; Redizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n<h2><span style=\"font-size: 14pt;\"><strong>Kampanja<\/strong><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Tehni\u010dka analiza sigurnosnih istra\u017eiva\u010da kompanije <em>Cyfirma pokazuje <\/em>da aplikacije imaju zlonamjerno pona\u0161anje i da pripadaju ozlogla\u0161enoj grupi u<a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\"> kategoriji napredne trajne prijetnje \u2013 <em>APT<\/em><\/a>\u00a0 (eng. <em>Advanced<\/em> <em>persistent<\/em> <em>threat<\/em>) koja cilja korisnike na podru\u010dju Ka\u0161mira.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Otkriveno je da napada\u010di koriste <em>Android<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">aktivni dio virusa<\/a> protiv pojedinaca u regionu Pakistana, ali je jo\u0161 nepoznato \u0161ta je cilj napada u regionu ju\u017ene Azije. Analiza pokazuje da je motiv napada prikupljanje informacija i kori\u0161tenje prikupljenih informacija za napad u drugoj fazi, koriste\u0107i<a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\"> zlonamjerni softver<\/a> sa vi\u0161e destruktivnih karakteristika.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"font-size: 14pt;\"><strong>Zlonamjerne aplikacije<\/strong><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Aplikacije u ovoj kampanji su bile pod autorskim nalogom \u201c<em>SecurITY Industry<\/em>\u201d u <em>Google<\/em> <em>Play<\/em> prodavnici i to tri aplikacije pod nazivima:<\/span><\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\"><em>Device Basic Plus<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>nSure Chat<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>iKHfaa VPN<\/em><\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Od navedenih aplikacija, <em>nSure<\/em> <em>Chat<\/em> i <em>iKHfaa<\/em> <em>VPN <\/em>imaju zlonamjerne karakteristike. Napada\u010d je koristio o\u010di\u0161\u0107ene <em>Android<\/em> biblioteke i natjerao ih da prikupljaju kontakte i lokaciju inficiranog ure\u0111aja. <em>iKHfaa <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/17\/vpn-sigurno-mrezno-povezivanje\/\" target=\"_blank\" rel=\"nofollow noopener\">VPN<\/a><\/em> aplikacija je koristila k\u00f4d od pravog dobavlja\u010da <em>VPN<\/em> usluga i uz dodavanje biblioteke za tiho obavljanje zlonamjernih aktivnosti. Obi\u010dno <em>VPN<\/em> aplikacije ne koriste dozvolu za lokaciju i kontakt da bi <em>VPN<\/em> aplikacija funkcionisala, jer su to najmanje potrebni podaci za funkcionisanje <em>VPN<\/em> aplikacije kako bi ona obavljala svoj posao.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovi sumnjivi zahtjevi za nepotrebnim dozvolama su usmjerili istra\u017eivanje ka dubljoj analizi i nakon detaljne tehni\u010dke analize utvr\u0111eno je da se radi o grupi <em>DoNot<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span style=\"font-size: 14pt;\"><strong>Funkcionisanje<\/strong><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Kada se <em>iKHfaa<\/em> <em>VPN<\/em> instalira, od korisnika se tra\u017ei dozvola za pristupanje lokaciji ure\u0111aja. Korisnici mogu vidjeti nepravilnosti u aplikaciji, odlaskom na opciju \u201c<em>about<\/em> <em>us<\/em>\u201d gdje se jasno vidi stvarni naziv aplikacije.<\/span><\/p>\n<div id=\"attachment_4997\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-4997\" class=\"size-full wp-image-4997\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/iKHfaa-VPN.webp\" alt=\"iKHfaa VPN\" width=\"1024\" height=\"891\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/iKHfaa-VPN.webp 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/iKHfaa-VPN-300x261.webp 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/iKHfaa-VPN-768x668.webp 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/iKHfaa-VPN-14x12.webp 14w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-4997\" class=\"wp-caption-text\"><em>iKHfaa VPN; Source: Cyfirma<\/em><\/p><\/div>\n<p><span style=\"font-size: 14pt;\">U ovu aplikaciju, tajno su dodate <em>RoomDB<\/em> i <em>Retrofit<\/em> biblioteke za \u010duvanje podataka i preuzimanje kontakata i ta\u010dne lokacije koji se \u0161alju na kontrolni server koji je ustvari slu\u017ebena Internet stranica aplikacije. Ako je omogu\u0107en pristup lokaciji, <em>iKHfaa<\/em> <em>VPN<\/em> modul odre\u0111uje ta\u010dnu lokaciju inficiranog ure\u0111aja, u suprotnom snima i \u010duva posljednju zabilje\u017eenu lokaciju ure\u0111aja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>nSure Chat<\/em> aplikacija prikazuje snimak ekrana nakon instalacije aplikacije i otvaranja. Ako korisnik odlu\u010di da presko\u010di stranicu za c\u0301askanje, aplikacija \u0107e od njega zatra\u017eiti da da dozvolu za pristup kontaktima. Sada ako korisnik presko\u010di stranicu za registraciju, bi\u0107e automatski usmjeren na odjeljak za prijavu ili registraciju aplikacije.<\/span><\/p>\n<div id=\"attachment_4998\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-4998\" class=\"wp-image-4998 size-full\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/nSure-Chat.webp\" alt=\"nSure Chat\" width=\"1024\" height=\"451\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/nSure-Chat.webp 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/nSure-Chat-300x132.webp 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/nSure-Chat-768x338.webp 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/nSure-Chat-18x8.webp 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-4998\" class=\"wp-caption-text\"><em>nSure Chat; Source: Cyfirma<\/em><\/p><\/div>\n<p><span style=\"font-size: 14pt;\">Ova aplikacija koristi <em>Retrofit<\/em> biblioteku za uspostavljanje komunikacije sa domenom i portom konfigurisanim u aplikaciji. Sigurnosni istra\u017eiva\u010di su otkrili komunikaciju izme\u0111u aplikacije i porta 4000 nakon analize saobra\u0107aja aplikacije <em>nSure<\/em> <em>Chat<\/em> koja je povezana sa <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanim<\/a> domenom pomo\u0107u besplatne usluge <em>Let\u2019s<\/em> <em>Encrypt<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nakon sprovo\u0111enja detaljne analize uzoraka, sigurnosni istra\u017eiva\u010di sa umjerenim nivoom povjerenja, tvrde da je nalog <em>Google<\/em> <em>Play<\/em> prodavnice povezan sa <em>APT<\/em> grupom <em>DoNot<\/em>. Sigurnosni istra\u017eiva\u010di su su otkrili \u0161ifrovane stringove koriste\u0107i <em>AES\/CBC\/PKCS5PADDING <\/em>algoritam, a i k\u00f4d je tako\u0111e zamaskiran kori\u0161tenjem <em>Proguard<\/em> softvera otvorenog k\u00f4da. Zanimljivo je da tekstualna datoteka koju generi\u0161e <em>Android<\/em> aplikacija djeli isto ime kao i tekstualna datoteka u prethodnom <em>Android<\/em> zlonamjernom softveru kori\u0161tenom\u00a0 od strane <em>DoNot<\/em> grupe za lokalno <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">skladi\u0161tenje podataka<\/a>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di imaju veoma malo saznanja o konkretnim \u017ertvama koje su ciljane u ovoj kampanji, osim da su se nalazile u Pakistanu. Prema karakteristikama zlonamjernog softvera napada\u010d te\u017ei prikupljanju informacija za napad u drugoj fazi, kada koristi zlonamjerni softver sa naprednim funkcijama. Sumnja se da napada\u010di koriste <em>Telegram<\/em> ili <em>WhatsApp<\/em> aplikacije za razmjenu poruka kako bi svoje \u017ertve prevarili da instaliraju aplikaciju koriste\u0107i <em>Google<\/em> <em>Play<\/em> prodavnicu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><strong><span style=\"font-size: 14pt;\">Zaklju\u010dak<\/span><\/strong><\/h5>\n<p><span style=\"font-size: 14pt;\">Svake godine istra\u017eiva\u010di <a href=\"https:\/\/sajberinfo.com\/en\/2023\/06\/04\/android-trojanac-sa-preko-421-000-000-instalacija\/\" target=\"_blank\" rel=\"nofollow noopener\">otkrivaju <em>Android<\/em> aplikacije<\/a> sa karakteristikama zlonamjernog softvera ili legitimne aplikacije koje tjeraju korisnike da preuzimaju zlonamjerne <em>Android<\/em> aplikacije na <em>Google<\/em> <em>Play<\/em> prodavnici, me\u0111utim, vrlo je malo slu\u010dajeva da <em>APT<\/em> grupe koriste <em>Google<\/em> <em>Play<\/em> prodavnicu za \u010duvanje zlonamjernih aplikacija zaobilazec\u0301i bezbjednosne provjere.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Usmjeravanjem korisnika na preuzimanje aplikacije iz <em>Google<\/em> <em>Play<\/em> prodavnice, napada\u010d zna\u010dajno pove\u0107ava vjerovatno\u0107u uspje\u0161nog napada. Ovaj pristup koristi prednost povjerenja korisnika u <em>Google<\/em> <em>Play<\/em> prodavnicu, jer je neuobi\u010dajeno da pojedinci posumnjaju da se zlonamjerne aplikacije na nalaze na tom servisu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ova primjetna promjena u taktici napada koju koristi <em>DoNot<\/em> <em>APT<\/em> grupa zna\u010di da su napada\u010di oti\u0161li korak dalje postavljanjem <em>Android<\/em> zlonamjernog softvera u <em>Google<\/em> <em>Play<\/em> prodavnicu. Prihvatili su izazov otpremanja <em>Android<\/em> aplikacije na <em>Google<\/em> <em>Play, <\/em>jer je to slo\u017een proces koji uklju\u010duje detaljno ispitivanje svake dozvole koja se dodjeljuje aplikaciji.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zabrinjavaju\u0107e je to \u0161to je ovaj <em>Android<\/em> zlonamjerni softver posebno dizajniran za prikupljanje informacija koje poslije omogu\u0107avaju napada\u010du da odredi strategije za budu\u0107e napade i koristi <em>Android<\/em> zlonamjerni softver sa naprednim funkcijama za ciljanje i eksploataciju \u017ertava.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>DoNot APT hakerska grupa je postavila Android zlonamjerne aplikacije u Google Play prodavnici pod nalogom \u201cSecurITY Industry\u201d. Grupa je otkrivena od strane sigurnosnih istra\u017eiva\u010da kompanije Cyfirma. Kampanja Tehni\u010dka analiza sigurnosnih istra\u017eiva\u010da kompanije Cyfirma pokazuje&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":4996,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[187,62,447,345,450,451,449,448,78],"class_list":["post-4994","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-android","tag-apt","tag-donot-apt","tag-google-play","tag-lets-encrypt","tag-proguard","tag-retrofit","tag-roomdb","tag-vpn"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4994","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4994"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4994\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4996"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4994"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4994"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4994"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}