Programari maliciós per a mòbils de SafeChat
S'han descobert pirates informàtics que utilitzen una aplicació d'Android enganyosa anomenada 'SafeChat' per infectar dispositius amb programari maliciós espia. Aquest programari maliciós té com a objectiu robar informació sensible dels telèfons, inclosos els registres de trucades, missatges de text i ubicacions GPS.
Se sospita que el programari espia d'Android és una variant del famós programari maliciós "Coverlm", conegut per les seves capacitats de robatori de dades de diverses aplicacions de comunicació. Les aplicacions dirigides inclouen plataformes populars com Telegram, Signal, WhatsApp, Viber i Facebook Messenger.
Es creu que el grup de pirateria informàtica indi APT conegut com "Bahamut " està darrere d'aquesta campanya. S'han identificat com els autors responsables dels recents atacs, principalment mitjançant missatges de pesca llança distribuïts a través de WhatsApp. Aquests missatges porten càrregues útils amenaçadores, que s'entreguen directament als dispositius de les víctimes. Els objectius principals d'aquesta campanya de Bahamut són els usuaris ubicats al sud d'Àsia.
El programari maliciós SafeChat es dissimula com una aplicació de missatgeria legítima
Una tàctica habitual que fan servir els atacants és intentar persuadir les víctimes perquè instal·lin una aplicació de xat, afirmant que els proporcionarà una plataforma de comunicació més segura. Segons els experts d'infosec, el programari espia disfressat de Safe Chat utilitza una interfície d'usuari enganyosa que imita una aplicació de xat genuïna. A més, guia a la víctima a través del que sembla ser un procés de registre d'usuari legítim, afegint credibilitat i actuant com a cobertura perfecta per a les activitats malicioses del programari espia.
Un pas crucial en el procés d'infecció consisteix a obtenir permisos importants, com ara la possibilitat d'utilitzar els serveis d'accessibilitat. Aquests permisos s'utilitzen de manera incorrecta per atorgar al programari espia més accés a dades sensibles automàticament. Més concretament, el programari espia té accés a la llista de contactes de la víctima, missatges SMS, registres de trucades, emmagatzematge de dispositius externs i pot recuperar dades precises d'ubicació GPS del dispositiu compromès.
A més, fragments del fitxer Android Manifest revelen que l'actor d'amenaces darrere del programari espia el va dissenyar per interactuar amb altres aplicacions de xat ja instal·lades. La interacció es produeix mitjançant l'ús d'intencions i el permís OPEN_DOCUMENT_TREE permet al programari espia seleccionar directoris específics i accedir a les aplicacions esmentades a la intenció.
Per exfiltrar les dades recollides del dispositiu infectat, el programari espia utilitza un mòdul d'exfiltració de dades dedicat. A continuació, la informació es transfereix al servidor de comandament i control (C2) de l'atacant a través del port 2053. Per garantir la confidencialitat de la informació exfiltrada durant la transmissió, el programari espia utilitza el xifratge facilitat per un altre mòdul que admet RSA, ECB i OAEPPadding. A més, els atacants utilitzen un certificat de "permet xifrar" per evadir qualsevol intent d'intercepció de dades de xarxa fets contra ells.
Connexions amb altres grups de ciberdelinqüència
A la campanya d'atac de SafeChat, s'han identificat diverses Tàctiques, Tècniques i Procediments (TTP), que s'assemblen sorprenentment a un altre grup d'amenaces patrocinat per l'estat indi conegut com "DoNot APT" (APT-C-35). En particular, "DoNot APT" ha participat anteriorment en la infiltració de Google Play amb aplicacions de xat falses que funcionen com a programari espia. Les similituds entre els dos grups de pirates informàtics inclouen l'ús de la mateixa autoritat de certificació, metodologies similars de robatori de dades, un àmbit d'orientació compartit i la utilització d'aplicacions d'Android per infectar els objectius previstos.
Aquests paral·lelismes observats suggereixen fortament una possible superposició o col·laboració estreta entre els dos grups d'amenaça. A més, la similitud en les tècniques de robatori de dades i l'enfocament d'orientació compartida poden indicar un objectiu o propòsit comú en els seus atacs.
El fet que ambdós grups hagin utilitzat aplicacions d'Android com a mitjà d'infiltració reforça encara més la noció de possible col·laboració o intercanvi de coneixement. És crucial prendre's seriosament aquests indicis de col·laboració, ja que signifiquen un augment potencial de la sofisticació i la complexitat dels atacs llançats per aquests grups patrocinats per l'estat.
