SafeChat Mobile Malware

Hackere er blevet opdaget ved at bruge en vildledende Android-applikation kaldet 'SafeChat' til at inficere enheder med spyware-malware. Denne ondsindede software har til formål at stjæle følsomme oplysninger fra telefoner, herunder opkaldslogger, tekstbeskeder og GPS-placeringer.

Android-spywaren er mistænkt for at være en variant af den berygtede 'Coverlm'-malware, der er kendt for sine data-stjælende muligheder fra forskellige kommunikationsapps. De målrettede applikationer inkluderer populære platforme som Telegram, Signal, WhatsApp, Viber og Facebook Messenger.

Den indiske APT-hackergruppe kendt som 'Bahamut ' menes at stå bag denne kampagne. De er blevet identificeret som gerningsmændene, der er ansvarlige for de seneste angreb, primært ved hjælp af spear phishing-beskeder distribueret via WhatsApp. Disse beskeder bærer truende nyttelast, som leveres direkte til ofrenes enheder. De primære mål for denne Bahamut-kampagne er brugere i Sydasien.

SafeChat Malware maskerer sig som en legitim meddelelsesapplikation

En almindelig taktik, der bruges af angribere, er at forsøge at overtale ofre til at installere en chatapplikation, idet de hævder, at det vil give dem en mere sikker kommunikationsplatform. Ifølge infosec-eksperter anvender spywaren forklædt som Safe Chat en vildledende brugergrænseflade, der efterligner en ægte chat-app. Desuden guider den ofret gennem, hvad der synes at være en legitim brugerregistreringsproces, tilføjer troværdighed og fungerer som et perfekt dække for spywarens ondsindede aktiviteter.

Et afgørende trin i infektionsprocessen involverer at opnå vigtige tilladelser, såsom muligheden for at bruge tilgængelighedstjenester. Disse tilladelser misbruges derefter til automatisk at give spyware yderligere adgang til følsomme data. Mere specifikt får spywaren adgang til offerets kontaktliste, SMS-beskeder, opkaldslogger, ekstern enhedslagring og kan hente præcise GPS-placeringsdata fra den kompromitterede enhed.

Derudover afslører uddrag fra Android Manifest-filen, at trusselsaktøren bag spyware designet det til at interagere med andre allerede installerede chatapplikationer. Interaktionen sker ved brug af hensigter, og OPEN_DOCUMENT_TREE-tilladelsen giver spyware mulighed for at vælge specifikke mapper og få adgang til de apps, der er nævnt i hensigten.

For at eksfiltrere de data, der er indsamlet fra den inficerede enhed, anvender spywaren et dedikeret dataeksfiltreringsmodul. Oplysningerne overføres derefter til angriberens Command-and-Control-server (C2) gennem port 2053. For at sikre fortroligheden af de eksfiltrerede oplysninger under transmissionen, anvender spywaren kryptering, der er faciliteret af et andet modul, der understøtter RSA, ECB og OAEPPadding. Ydermere anvender angriberne et "lader kryptere"-certifikat for at undgå ethvert aflytningsforsøg af netværksdata, der er foretaget mod dem.

Forbindelser til andre cyberkriminalitetsgrupper

I SafeChat-angrebskampagnen er der blevet identificeret adskillige taktikker, teknikker og procedurer (TTP'er), som har en slående lighed med en anden indisk statssponsoreret trusselgruppe kendt som 'DoNot APT' (APT-C-35). Navnlig har 'DoNot APT' tidligere været involveret i at infiltrere Google Play med falske chat-apps, der fungerer som spyware. Lighederne mellem de to hackergrupper inkluderer brugen af den samme certifikatmyndighed, lignende metoder til datatyveri, et fælles målretningsområde og brugen af Android-apps til at inficere deres tilsigtede mål.

Disse observerede paralleller tyder stærkt på et potentielt overlap eller tæt samarbejde mellem de to trusselsgrupper. Derudover kan ligheden i datatyveriteknikker og det fælles målretningsfokus indikere et fælles mål eller formål med deres angreb.

Det faktum, at begge grupper har brugt Android-apps som et middel til infiltration, styrker yderligere forestillingen om muligt samarbejde eller videndeling. Det er afgørende at tage disse indikationer på samarbejde alvorligt, da de betyder en potentiel stigning i sofistikeringen og kompleksiteten af de angreb, som disse statsstøttede grupper lancerer.