SafeChat Mobile Malware

Bylo zjištěno, že hackeři využívají klamavou aplikaci pro Android s názvem „SafeChat“ k infikování zařízení spywarovým malwarem. Tento škodlivý software má za cíl ukrást citlivé informace z telefonů, včetně protokolů hovorů, textových zpráv a poloh GPS.

Android spyware je podezřelý, že je variantou nechvalně známého malwaru 'Coverlm', známého pro své schopnosti krást data z různých komunikačních aplikací. Mezi cílené aplikace patří oblíbené platformy jako Telegram, Signal, WhatsApp, Viber a Facebook Messenger.

Předpokládá se, že za touto kampaní stojí indická hackerská skupina APT známá jako 'Bahamut '. Byli identifikováni jako pachatelé odpovědní za nedávné útoky, především pomocí spear phishingových zpráv distribuovaných přes WhatsApp. Tyto zprávy nesou hrozivé užitečné zatížení, které jsou přímo doručovány do zařízení obětí. Primárními cíli této Bahamutské kampaně jsou uživatelé v jižní Asii.

Malware SafeChat se vydává za legitimní aplikaci pro zasílání zpráv

Obvyklou taktikou útočníků je pokusit se přesvědčit oběti, aby si nainstalovaly chatovací aplikaci, a tvrdí, že jim to poskytne bezpečnější komunikační platformu. Podle odborníků z Infosec využívá spyware maskovaný jako Safe Chat klamavé uživatelské rozhraní, které napodobuje skutečnou chatovací aplikaci. Kromě toho provádí oběť procesem, který se zdá být legitimním registračním procesem uživatele, dodává důvěryhodnost a funguje jako perfektní kryt pro škodlivé aktivity spywaru.

Zásadní krok v procesu infekce zahrnuje získání důležitých oprávnění, jako je například možnost používat služby usnadnění. Tato oprávnění jsou následně zneužita k automatickému udělení dalšího přístupu spywaru k citlivým datům. Přesněji řečeno, spyware získá přístup k seznamu kontaktů oběti, SMS zprávám, protokolům hovorů, úložišti externího zařízení a může z napadeného zařízení získat přesná data o poloze GPS.

Kromě toho úryvky ze souboru Android Manifest odhalují, že aktér hrozby za spywarem jej navrhl pro interakci s jinými již nainstalovanými chatovacími aplikacemi. K interakci dochází prostřednictvím použití záměrů a oprávnění OPEN_DOCUMENT_TREE umožňuje spywaru vybrat konkrétní adresáře a přistupovat k aplikacím uvedeným v záměru.

K exfiltraci dat shromážděných z infikovaného zařízení využívá spyware vyhrazený modul pro exfiltraci dat. Informace jsou poté přeneseny na útočníkův server Command-and-Control (C2) přes port 2053. Aby byla zajištěna důvěrnost exfiltrovaných informací během přenosu, využívá spyware šifrování usnadněné dalším modulem, který podporuje RSA, ECB a OAEPPadding. Kromě toho útočníci používají certifikát „lets encrypt“, aby se vyhnuli pokusům o zachycení síťových dat, které proti nim byly provedeny.

Napojení na další skupiny kyberzločinu

V útočné kampani SafeChat bylo identifikováno několik taktik, technik a postupů (TTP), které se nápadně podobají jiné indické státem podporované skupině hrozeb známé jako „DoNot APT“ (APT-C-35). Zejména „DoNot APT“ se již dříve podílel na infiltraci Google Play pomocí falešných chatovacích aplikací, které fungují jako spyware. Mezi podobnosti mezi těmito dvěma skupinami hackerů patří použití stejné certifikační autority, podobné metodologie krádeže dat, sdílený rozsah cílení a využití aplikací pro Android k infikování zamýšlených cílů.

Tyto pozorované paralely silně naznačují potenciální překrývání nebo úzkou spolupráci mezi těmito dvěma skupinami ohrožení. Navíc podobnost technik krádeže dat a sdíleného cílení může naznačovat společný cíl nebo účel jejich útoků.

Skutečnost, že obě skupiny používají aplikace pro Android jako prostředek infiltrace, dále posiluje představu o možné spolupráci nebo sdílení znalostí. Je velmi důležité brát tyto náznaky spolupráce vážně, protože znamenají potenciální nárůst propracovanosti a složitosti útoků zahájených těmito státem podporovanými skupinami.