SafeChat Mobile Malware

Беше открито, че хакери използват измамно приложение за Android, наречено „SafeChat“, за да заразяват устройства със зловреден софтуер за шпиониране. Този злонамерен софтуер има за цел да открадне чувствителна информация от телефони, включително регистър на обажданията, текстови съобщения и GPS местоположения.

Подозира се, че шпионският софтуер на Android е вариант на скандалния злонамерен софтуер „Coverlm“, известен с възможностите си за кражба на данни от различни комуникационни приложения. Целевите приложения включват популярни платформи като Telegram, Signal, WhatsApp, Viber и Facebook Messenger.

Смята се, че зад тази кампания стои индийската хакерска група APT, известна като „Bahamut “. Те са идентифицирани като извършителите, отговорни за неотдавнашните атаки, предимно чрез използване на фишинг съобщения, разпространявани чрез WhatsApp. Тези съобщения носят заплашителни товари, които се доставят директно до устройствата на жертвите. Основните цели на тази кампания на Bahamut са потребители, намиращи се в Южна Азия.

Зловреден софтуер SafeChat се маскира като легитимно приложение за съобщения

Обичайна тактика, използвана от нападателите, е да се опитат да убедят жертвите да инсталират приложение за чат, твърдейки, че то ще им осигури по-сигурна комуникационна платформа. Според експертите по информационна сигурност шпионският софтуер, маскиран като Safe Chat, използва измамен потребителски интерфейс, който имитира истинско приложение за чат. Освен това, той напътства жертвата през това, което изглежда като законен процес на регистрация на потребител, добавяйки доверие и действайки като перфектно прикритие за злонамерените дейности на шпионския софтуер.

Решаваща стъпка в процеса на заразяване включва получаването на важни разрешения, като например възможността за използване на услугите за достъпност. След това тези разрешения се злоупотребяват, за да се предостави на шпионския софтуер допълнителен достъп до чувствителни данни автоматично. По-конкретно, шпионският софтуер получава достъп до списъка с контакти на жертвата, SMS съобщенията, регистъра на обажданията, паметта на външното устройство и може да извлече точни данни за местоположението на GPS от компрометираното устройство.

Освен това, фрагменти от файла с манифеста на Android разкриват, че заплахата зад шпионския софтуер го е проектирал да взаимодейства с други вече инсталирани приложения за чат. Взаимодействието се осъществява чрез използване на намерения, а разрешението OPEN_DOCUMENT_TREE позволява на шпионския софтуер да избира конкретни директории и да осъществява достъп до приложенията, споменати в намерението.

За да ексфилтрира данните, събрани от заразеното устройство, шпионският софтуер използва специален модул за ексфилтриране на данни. След това информацията се прехвърля към сървъра за командване и управление (C2) на нападателя през порт 2053. За да се гарантира поверителността на ексфилтрираната информация по време на предаване, шпионският софтуер използва криптиране, улеснено от друг модул, който поддържа RSA, ECB и OAEPPadding. Освен това нападателите използват сертификат „lets encrypt“, за да избегнат всякакви опити за прихващане на мрежови данни, направени срещу тях.

Връзки с други киберпрестъпни групи

В кампанията за атака на SafeChat са идентифицирани няколко тактики, техники и процедури (TTP), които имат поразителна прилика с друга индийска държавна група за заплахи, известна като „DoNot APT“ (APT-C-35). Трябва да се отбележи, че „DoNot APT“ вече е участвал в проникването в Google Play с фалшиви приложения за чат, които функционират като шпионски софтуер. Приликите между двете хакерски групи включват използването на един и същи сертифициращ орган, сходни методологии за кражба на данни, споделен обхват на насочване и използване на приложения за Android за заразяване на предвидените цели.

Тези наблюдавани паралели силно предполагат потенциално припокриване или тясно сътрудничество между двете заплашителни групи. Освен това сходството в техниките за кражба на данни и споделения фокус върху насочването може да означава обща цел или цел в техните атаки.

Фактът, че и двете групи са използвали приложения за Android като средство за проникване, допълнително укрепва представата за възможно сътрудничество или споделяне на знания. Изключително важно е тези индикации за сътрудничество да се приемат сериозно, тъй като те означават потенциално увеличаване на изтънчеността и сложността на атаките, предприети от тези спонсорирани от държавата групи.