البرامج الضارة SafeChat Mobile

تم اكتشاف متسللين يستخدمون تطبيق Android خادع يسمى "SafeChat" لإصابة الأجهزة ببرامج التجسس الضارة. تهدف هذه البرامج الضارة إلى سرقة المعلومات الحساسة من الهواتف ، بما في ذلك سجلات المكالمات والرسائل النصية ومواقع GPS.

يُشتبه في أن برنامج التجسس الذي يعمل بنظام Android هو أحد أنواع البرمجيات الخبيثة "Coverlm" سيئة السمعة ، والمعروفة بقدراتها على سرقة البيانات من تطبيقات الاتصال المختلفة. تتضمن التطبيقات المستهدفة منصات شائعة مثل Telegram و Signal و WhatsApp و Viber و Facebook Messenger.

ويعتقد أن مجموعة القرصنة الهندية المعروفة باسم "باهاموت " تقف وراء هذه الحملة. تم التعرف عليهم على أنهم الجناة المسؤولون عن الهجمات الأخيرة ، وذلك باستخدام رسائل التصيد بالرمح التي يتم توزيعها عبر WhatsApp. تحمل هذه الرسائل حمولات تهديد ، يتم تسليمها مباشرة إلى أجهزة الضحايا. الهدف الأساسي لحملة جزر الباهاموت هذه هم المستخدمون الموجودون في جنوب آسيا.

يتنكر برنامج SafeChat الضار باعتباره تطبيق مراسلة شرعي

من الأساليب الشائعة التي يستخدمها المهاجمون محاولة إقناع الضحايا بتثبيت تطبيق دردشة ، بدعوى أنه سيوفر لهم نظام اتصال أكثر أمانًا. وفقًا لخبراء المعلومات ، فإن برنامج التجسس المتخفي في صورة Safe Chat يستخدم واجهة مستخدم خادعة تحاكي تطبيق دردشة حقيقي. علاوة على ذلك ، فإنه يوجه الضحية من خلال ما يبدو أنه عملية تسجيل مستخدم شرعية ، مما يضيف المصداقية ويعمل كغطاء مثالي للأنشطة الضارة لبرامج التجسس.

تتضمن الخطوة الحاسمة في عملية العدوى الحصول على أذونات مهمة ، مثل القدرة على استخدام خدمات إمكانية الوصول. ثم يتم إساءة استخدام هذه الأذونات لمنح برنامج التجسس مزيدًا من الوصول إلى البيانات الحساسة تلقائيًا. وبشكل أكثر تحديدًا ، يكتسب برنامج التجسس إمكانية الوصول إلى قائمة جهات اتصال الضحية ، ورسائل SMS ، وسجلات المكالمات ، وتخزين الجهاز الخارجي ، ويمكنه استرداد بيانات موقع GPS الدقيقة من الجهاز المخترق.

بالإضافة إلى ذلك ، تكشف المقتطفات من ملف Android Manifest أن الفاعل الذي يقف وراء برنامج التجسس قد صممه للتفاعل مع تطبيقات الدردشة الأخرى المثبتة بالفعل. يحدث التفاعل من خلال استخدام النوايا ، ويسمح إذن OPEN_DOCUMENT_TREE لبرامج التجسس بتحديد أدلة معينة والوصول إلى التطبيقات المذكورة في النية.

لاستخراج البيانات التي تم جمعها من الجهاز المصاب ، يستخدم برنامج التجسس وحدة مخصصة لاستخراج البيانات. يتم بعد ذلك نقل المعلومات إلى خادم الأوامر والتحكم (C2) الخاص بالمهاجم عبر المنفذ 2053. لضمان سرية المعلومات المسربة أثناء الإرسال ، يستخدم برنامج التجسس التشفير الذي يتم تسهيله بواسطة وحدة نمطية أخرى تدعم RSA و ECB و OAEPPadding. علاوة على ذلك ، يستخدم المهاجمون شهادة "تسمح بالتشفير" لتجنب أي محاولات اعتراض لبيانات الشبكة ضدهم.

اتصالات بمجموعات الجرائم الإلكترونية الأخرى

في حملة هجوم SafeChat ، تم تحديد العديد من التكتيكات والتقنيات والإجراءات (TTPs) ، والتي تشبه بشكل صارخ مجموعة تهديد أخرى ترعاها دولة هندية تُعرف باسم `` DoNot APT '' (APT-C-35). والجدير بالذكر أن "DoNot APT" قد شاركت سابقًا في اختراق Google Play من خلال تطبيقات الدردشة المزيفة التي تعمل كبرامج تجسس. تشمل أوجه التشابه بين مجموعتي المتسللين استخدام نفس المرجع المصدق ، ومنهجيات مماثلة لسرقة البيانات ، ونطاق استهداف مشترك ، واستخدام تطبيقات Android لإصابة أهدافهم المقصودة.

تشير هذه المتوازيات الملحوظة بقوة إلى تداخل محتمل أو تعاون وثيق بين مجموعتي التهديد. بالإضافة إلى ذلك ، قد يشير التشابه في تقنيات سرقة البيانات وتركيز الاستهداف المشترك إلى هدف أو غرض مشترك في هجماتهم.

حقيقة أن كلا المجموعتين قد استخدمت تطبيقات Android كوسيلة للتسلل يعزز فكرة التعاون المحتمل أو مشاركة المعرفة. من الأهمية بمكان أخذ مؤشرات التعاون هذه على محمل الجد لأنها تشير إلى زيادة محتملة في تعقيد وتعقيد الهجمات التي تشنها هذه الجماعات التي ترعاها الدولة.