SafeChat Mobile Malware

Ανακαλύφθηκε ότι χάκερ χρησιμοποιούν μια παραπλανητική εφαρμογή Android που ονομάζεται «SafeChat» για να μολύνουν συσκευές με κακόβουλο λογισμικό spyware. Αυτό το κακόβουλο λογισμικό στοχεύει στην κλοπή ευαίσθητων πληροφοριών από τηλέφωνα, συμπεριλαμβανομένων αρχείων καταγραφής κλήσεων, μηνυμάτων κειμένου και τοποθεσιών GPS.

Το λογισμικό υποκλοπής Android είναι ύποπτο ότι είναι μια παραλλαγή του διαβόητου κακόβουλου λογισμικού «Coverlm», γνωστό για τις δυνατότητές του να υποκλοπή δεδομένων από διάφορες εφαρμογές επικοινωνίας. Οι στοχευμένες εφαρμογές περιλαμβάνουν δημοφιλείς πλατφόρμες όπως Telegram, Signal, WhatsApp, Viber και Facebook Messenger.

Η ινδική ομάδα hacking APT γνωστή ως «Bahamut » πιστεύεται ότι βρίσκεται πίσω από αυτήν την καμπάνια. Έχουν ταυτοποιηθεί ως οι δράστες που ευθύνονται για τις πρόσφατες επιθέσεις, χρησιμοποιώντας κυρίως μηνύματα ηλεκτρονικού ψαρέματος (spear phishing) που διανέμονται μέσω WhatsApp. Αυτά τα μηνύματα μεταφέρουν απειλητικά ωφέλιμα φορτία, τα οποία παραδίδονται απευθείας στις συσκευές των θυμάτων. Οι κύριοι στόχοι αυτής της καμπάνιας Μπαχαμούτ είναι χρήστες που βρίσκονται στη Νότια Ασία.

Το κακόβουλο λογισμικό SafeChat μεταμφιέζεται ως μια νόμιμη εφαρμογή ανταλλαγής μηνυμάτων

Μια κοινή τακτική που χρησιμοποιούν οι εισβολείς είναι να προσπαθούν να πείσουν τα θύματα να εγκαταστήσουν μια εφαρμογή συνομιλίας, υποστηρίζοντας ότι θα τους παρέχει μια πιο ασφαλή πλατφόρμα επικοινωνίας. Σύμφωνα με τους ειδικούς του infosec, το λογισμικό υποκλοπής που είναι μεταμφιεσμένο ως Safe Chat χρησιμοποιεί μια παραπλανητική διεπαφή χρήστη που μιμείται μια γνήσια εφαρμογή συνομιλίας. Επιπλέον, καθοδηγεί το θύμα σε κάτι που φαίνεται να είναι μια νόμιμη διαδικασία εγγραφής χρήστη, προσθέτοντας αξιοπιστία και λειτουργώντας ως τέλειο κάλυμμα για τις κακόβουλες δραστηριότητες του spyware.

Ένα κρίσιμο βήμα στη διαδικασία μόλυνσης περιλαμβάνει τη λήψη σημαντικών αδειών, όπως η δυνατότητα χρήσης των Υπηρεσιών Προσβασιμότητας. Στη συνέχεια, αυτές οι άδειες χρησιμοποιούνται για να παραχωρηθεί αυτόματα στο spyware περαιτέρω πρόσβαση σε ευαίσθητα δεδομένα. Πιο συγκεκριμένα, το λογισμικό κατασκοπείας αποκτά πρόσβαση στη λίστα επαφών του θύματος, στα μηνύματα SMS, στα αρχεία καταγραφής κλήσεων, στην αποθήκευση εξωτερικής συσκευής και μπορεί να ανακτήσει ακριβή δεδομένα τοποθεσίας GPS από τη συσκευή που έχει παραβιαστεί.

Επιπλέον, αποσπάσματα από το αρχείο Android Manifest αποκαλύπτουν ότι ο παράγοντας απειλής πίσω από το λογισμικό υποκλοπής spyware το σχεδίασε ώστε να αλληλεπιδρά με άλλες ήδη εγκατεστημένες εφαρμογές συνομιλίας. Η αλληλεπίδραση πραγματοποιείται μέσω της χρήσης προθέσεων και η άδεια OPEN_DOCUMENT_TREE επιτρέπει στο λογισμικό υποκλοπής να επιλέγει συγκεκριμένους καταλόγους και να έχει πρόσβαση στις εφαρμογές που αναφέρονται στην πρόθεση.

Για τη διήθηση των δεδομένων που συλλέγονται από τη μολυσμένη συσκευή, το λογισμικό κατασκοπείας χρησιμοποιεί μια ειδική μονάδα εξαγωγής δεδομένων. Στη συνέχεια, οι πληροφορίες μεταφέρονται στον διακομιστή Command-and-Control (C2) του εισβολέα μέσω της θύρας 2053. Για να διασφαλιστεί η εμπιστευτικότητα των πληροφοριών που έχουν εξαχθεί κατά τη μετάδοση, το λογισμικό υποκλοπής χρησιμοποιεί κρυπτογράφηση που διευκολύνεται από άλλη μονάδα που υποστηρίζει RSA, ECB και OAEPPadding. Επιπλέον, οι εισβολείς χρησιμοποιούν ένα πιστοποιητικό "lets encrypt" για να αποφύγουν τυχόν προσπάθειες υποκλοπής δεδομένων δικτύου που γίνονται εναντίον τους.

Συνδέσεις με άλλες ομάδες εγκλήματος στον κυβερνοχώρο

Στην εκστρατεία επίθεσης SafeChat, έχουν εντοπιστεί αρκετές Τακτικές, Τεχνικές και Διαδικασίες (TTP), οι οποίες μοιάζουν εντυπωσιακά με μια άλλη ομάδα απειλών που χρηματοδοτείται από την Ινδία, γνωστή ως «DoNot APT» (APT-C-35). Συγκεκριμένα, το "DoNot APT" είχε εμπλακεί στο παρελθόν στη διείσδυση στο Google Play με ψεύτικες εφαρμογές συνομιλίας που λειτουργούν ως λογισμικό κατασκοπείας. Οι ομοιότητες μεταξύ των δύο ομάδων χάκερ περιλαμβάνουν τη χρήση της ίδιας αρχής πιστοποιητικών, παρόμοιες μεθοδολογίες κλοπής δεδομένων, ένα κοινό εύρος στόχευσης και τη χρήση εφαρμογών Android για τη μόλυνση των επιδιωκόμενων στόχων.

Αυτοί οι παρατηρούμενοι παραλληλισμοί υποδηλώνουν έντονα μια πιθανή επικάλυψη ή στενή συνεργασία μεταξύ των δύο ομάδων απειλών. Επιπλέον, η ομοιότητα στις τεχνικές κλοπής δεδομένων και η κοινή εστίαση στόχευσης μπορεί να υποδηλώνουν έναν κοινό στόχο ή σκοπό στις επιθέσεις τους.

Το γεγονός ότι και οι δύο ομάδες έχουν χρησιμοποιήσει εφαρμογές Android ως μέσο διείσδυσης ενισχύει περαιτέρω την ιδέα της πιθανής συνεργασίας ή ανταλλαγής γνώσεων. Είναι ζωτικής σημασίας να ληφθούν σοβαρά υπόψη αυτές οι ενδείξεις συνεργασίας, καθώς υποδηλώνουν πιθανή αύξηση της πολυπλοκότητας και της πολυπλοκότητας των επιθέσεων που εξαπολύουν αυτές οι ομάδες που χρηματοδοτούνται από το κράτος.