Aplikacije je u Googleovoj prodavnici otkrila Cyfirma, koja ih je povezala sa indijskom hakerskom grupom “DoNot”, praćenoj kao APT-C-35, koja deluje od 2018. godine, i čije su mete uglavnom organizacije u jugoistočnoj Aziji.
Izvještaj Amnesty Internationala, objavljen 2021., povezao je grupu sa jednom indijskom firmom za sajber sigurnost.
Aplikacije koje hakeri iz grupe DoNot koriste u najnovijoj kampanji prikupljaju informacije sa uređaja pripremajući teren za opasnije infekcije malverom, pa se infekcija ovim aplikacijama čini kao prva faza napada grupe.
Sumnjive aplikacije pronađene na Google Play su nSure Chat, iKHfaa VPN i Device Basics Plus. Iza ovih aplikacija stoji isti izdavač – “SecurITY Industry”. Aplikacije su i dalje dostupne na Google Play. Aplikacije imaju mali broj preuzimanja, što ukazuje da se koriste selektivno protiv određenih ciljeva.
Aplikacije zahtjevaju rizične dozvole tokom instalacije, kao što je pristup listi kontakata korisnika i preciznim podacima o lokaciji. Prikupljeni podaci se čuvaju lokalno i kasnije šalju na C2 server napadača. U slučaju nSure Chata, adresa servera je viđena prošle godine u napadima grupe Cobalt Strike.
Kod VPN aplikacije preuzet je direktno iz legitimnog softvera Liberty VPN.
Istraživači vjeruju da je DoNot odustao od taktike slanja fišing imejlova sa zlonamjernim prilozima i da sada njihov napad počinje na WhatsAppu i Telegramu. Poruke koje žrtve dobiju u ovim aplikacijama usmjeravaju ih na Google Play prodavnicu, koju korisnici doživljavaju kao pouzdanu platformu, tako da se lako mogu prevariti da preuzmu predložene aplikacije.