VPN- und Chat-App mit Spyware in Google Play

Der Sicherheitsanbieter Cyfirma hat zwei Android-Apps im offiziellen Marktplatz Google Play entdeckt, die Schadcode enthalten. Die Spyware tarnt sich als VPN- und Chat-Apps. Hinter der Aktion soll eine indische Hackergruppe namens DoNot stecken, die mit staatlicher Unterstützung seit 2018 hochrangige Ziele in Südostasien ins Visier nehmen soll.

Die beiden Apps sind laut Cyfirma weiterhin im Play Store unter den Namen nSure Chat und iKHfaa VPN gelistet. Als Entwickler wird SecurITY Industry genannt. Die geringen Downloadzahlen legen laut BleepingComputer die Vermutung nahe, dass die Apps bisher nur gegen ausgesuchte Ziele eingesetzt wurden.

Apps lesen Kontakte und Standortdaten aus

Während der Installation sollen beide Apps die Berechtigungen für den Zugriff auf Kontakte und Standort einfordern. Anschließend spähen die Apps das Adressbuch aus und übermitteln die Informationen zusammen mit dem aktuellen Standort an einen Befehlsserver.

Die Analysten von Cyfirma fanden ebenfalls heraus, dass sich die Hacker für ihre falsche VPN-App beim Code der legitimen VPN-App Liberty VPN bedienten. Die Untersuchung erbrachte zudem Verbindungen zu früheren Aktionen von DoNot, weswegen die Forscher hinter den beiden Spyware-Apps ebenfalls die indischen Bedrohungsakteure vermuten.

Derzeit bietet der Entwickler von nSure Chat eine weitere Apps namens Device Basics Plus an. Dabei handelt es sich um eine App, die Gerätedaten wie Details über Hardware und Software anzeigen soll. Laut BleepingComputer stuft Cyfirma diese App als harmlos ein. Die VPN-App iKHfaa VPN wurde indes inzwischen aus dem App Store entfernt.