تستعمل مجموعة القرصنة (DoNot) أداة تحميل برامج ضارة جديدة لنظام أندرويد يطلق عليها اسم (Firestarter)، بحيث تستخدم خدمة مراسلة شرعية من جوجل لتجاوز الاكتشاف.
وتستخدم (DoNot) الحل السحابي المتعدد المنصات للرسائل والإشعارات لتطبيقات أندرويد وآي أو إس وتطبيقات الويب (FCM)، الذي توفره (Firebase)، وهي شركة تابعة لشركة جوجل.
وتستخدم (Firestarter) الحل السحابي (FCM) كآلية اتصال بخوادم القيادة والتحكم (C2) التابعة لمجموعة (DoNot)، مما يساعد في تجنب اكتشاف أنشطة المجموعة.
وقال الباحثون في وحدة سيسكو تالوس (Cisco Talos): كشف بحثنا أن (DoNot) كانت تختبر تقنيات جديدة للحفاظ على موطئ قدم ضمن أجهزة الضحية.
وأضافوا: تمثل هذه التجارب علامة على مدى عزم المجموعة على الاستمرار في العمل، وذلك بالرغم من تعرضها للخطر، مما يجعلها فاعلًا خطيرًا بشكل خاص يعمل في منطقة التجسس.
وتركز مجموعة (DoNot) على الهند وباكستان، وهي معروفة باستهدافها لمسؤولي الحكومة الباكستانية والمنظمات الكشميرية غير الهادفة للربح.
وقال باحثون: يجري حث المستخدمين على تثبيت التطبيق الضار ضمن الجهاز، ومن المحتمل أن يتم ذلك عبر رسائل مباشرة تستخدم الهندسة الاجتماعية.
وبمجرد فتح التطبيق – الذي يزعم أنه منصة دردشة، يتلقى المستخدمون رسالة تفيد بأن الدردشات يتم تحميلها باستمرار، وأن التطبيق غير مدعوم، وأن عملية إلغاء التثبيت قيد التقدم.
وتتم إزالة الرمز من واجهة المستخدم بمجرد ظهور رسالة إلغاء التثبيت، وذلك بالرغم من استمرار ظهوره في قائمة التطبيقات في إعدادات الهاتف.
ويحاول التطبيق الضار في الخلفية تنزيل التعليمات البرمجية باستخدام حل (FCM).
ووفقًا لشركة (Firebase)، يشتمل تنفيذ (FCM) على مكونين رئيسيين لإرسال الرسائل واستلامها.
ويتضمن ذلك خادم تطبيقات يمكن من خلاله إنشاء الرسائل واستهدافها وإرسالها؛ وتطبيق آي أو إس أو أندرويد أو ويب يتلقى الرسائل.
ويرسل التطبيق الضار إلى خادم القيادة والتحكم (C2) رمز (FCM) مع معلومات مختلفة عن الجهاز، ومن ضمنها الموقع الجغرافي وعنوان برتوكول الإنترنت و (IMEI) وعنوان البريد الإلكتروني للضحايا، مما يسمح للمشغلين بتحديد وجوب استلام الضحية للتعليمات البرمجية.