Обнаружена связь между ИБ-компанией и шпионским ПО для Android

[Artifact]

IP-адрес Innefu Labs неоднократно использовался для доставки вредоносной нагрузки на устройства жертв.

Специалисты международной неправительственной правозащитной организации Amnesty International обнаружили связь между ИБ-компанией и шпионским ПО для Android-устройств, использующимся для слежки за активистами в Того и некоторых регионах Азии.
Эксперты отследили шпионское ПО до индийской компании Innefu Labs после того, как обнаружилось, что ее IP-адрес неоднократно использовался для доставки вредоносной нагрузки на системы жертв. Однако самим разработчиком шпионского ПО может быть Donot Team (APT-C-35) - индийская хакерская группировка, атакующая правительства стран Юго-Восточной Азии как минимум с 2018 года.
По мнению специалистов, вполне вероятно, что Innefu Labs и не догадывается, как ее клиенты или другие третьи лица используют ее инструменты. Тем не менее, теперь, когда стали известны все технические подробности, внешний аудит поможет выявить все.
В письме Amnesty International компания отрицает какую-либо связь с Donot Team и хакерскими атаками на активистов.
Атака начинается с получения жертвой сообщения в WhatsApp с предложением установить предположительно безопасное приложение для общения ChatLite. Если жертва не попалась на удочку, атакующие отправляют ей с почтового ящика Gmail электронное письмо с вредоносным файлом MS Word, который доставляет на систему шпионское ПО путем эксплуатации старой уязвимости.
ChatLite представляет собой шпионское ПО в виде кастомного приложения для Android и позволяет злоумышленникам похищать хранящиеся на устройстве чувствительные данные и устанавливать дополнительные вредоносные инструменты.
Вариант вредоноса, распространяющегося через документ Word, способен записывать нажатия клавиш на клавиатуре, регулярно делать скриншоты, похищать файлы из локальных и внешних хранилищ и загружать дополнительные вредоносные модули.
Проанализировав образец шпионского ПО для Android, специалисты обнаружили несколько схожих черт с Kashmir_Voice_v4.8.apk и SafeShareV67.apk - вредоносными инструментами, связанными с прошлыми операциями Donot Team.
Эта opsec-ошибка позволила экспертам выявить "тестовый" сервер в США, на котором злоумышленники хранили похищенные с зараженных Android-устройств скриншоты и записи нажатий клавиш. Именно здесь специалисты впервые обнаружили реальный IP-адрес Innefu Labs, скрывавшийся с помощью VPN.
Данный случай является первым, когда Donot Team атаковала жертв в Африке. Это наводит на мысль, что группировка стала предлагать свои услуги хакинга иностранным правительствам.