SafeChat mobiili pahavara

On avastatud häkkerid, kes kasutavad seadmete nuhkvara pahavaraga nakatamiseks petlikku Androidi rakendust "SafeChat". Selle pahatahtliku tarkvara eesmärk on varastada telefonidest tundlikku teavet, sealhulgas kõneloge, tekstsõnumeid ja GPS-i asukohti.

Arvatakse, et Androidi nuhkvara on kurikuulsa Coverlmi pahavara variant, mis on tuntud oma andmete varastamise võimaluste poolest erinevatest suhtlusrakendustest. Sihitud rakenduste hulka kuuluvad sellised populaarsed platvormid nagu Telegram, Signal, WhatsApp, Viber ja Facebook Messenger.

Arvatakse, et selle kampaania taga on India APT häkkimisrühmitus nimega Bahamut . Nemad on tuvastatud kui hiljutiste rünnakute toimepanijad, kasutades peamiselt WhatsAppi kaudu levitatavaid andmepüügisõnumeid. Need sõnumid kannavad ähvardavaid koormaid, mis saadetakse otse ohvrite seadmetesse. Selle Bahamuti kampaania peamised sihtmärgid on Lõuna-Aasias asuvad kasutajad.

SafeChati pahavara maskeerub seadusliku sõnumsiderakendusena

Ründajate levinud taktika on püüda veenda ohvreid installima vestlusrakendust, väites, et see pakub neile turvalisemat suhtlusplatvormi. Infoseci ekspertide sõnul kasutab Safe Chat'iks maskeeritud nuhkvara petlikku kasutajaliidest, mis jäljendab ehtsat vestlusrakendust. Lisaks juhatab see ohvrit läbi näiliselt seadusliku kasutaja registreerimisprotsessi, lisades usaldusväärsust ja toimides suurepärase kattena nuhkvara pahatahtlikule tegevusele.

Nakatumise protsessi oluline samm hõlmab oluliste lubade hankimist, näiteks juurdepääsuteenuste kasutamise võimalust. Neid õigusi kuritarvitatakse, et anda nuhkvarale automaatselt tundlikele andmetele juurdepääs. Täpsemalt pääseb nuhkvara ligi ohvri kontaktiloendile, SMS-sõnumitele, kõnelogidele, välisseadme salvestusruumile ja saab rikutud seadmest hankida täpseid GPS-i asukohaandmeid.

Lisaks näitavad Androidi manifesti faili väljavõtted, et nuhkvara taga olev ohutegija kujundas selle suhtlema teiste juba installitud vestlusrakendustega. Interaktsioon toimub kavatsuste kasutamise kaudu ja OPEN_DOCUMENT_TREE luba võimaldab nuhkvaral valida konkreetseid katalooge ja pääseda juurde kavatsuses mainitud rakendustele.

Nakatunud seadmest kogutud andmete väljafiltreerimiseks kasutab nuhkvara spetsiaalset andmete väljafiltreerimise moodulit. Seejärel edastatakse teave ründaja Command-and-Control (C2) serverisse pordi 2053 kaudu. Et tagada väljafiltreeritud teabe konfidentsiaalsus edastamise ajal, kasutab nuhkvara krüptimist, mida hõlbustab teine moodul, mis toetab RSA, ECB ja OAEPPaddingi. Lisaks kasutavad ründajad sertifikaati "lubab krüptida", et vältida nende vastu tehtud võrguandmete pealtkuulamiskatseid.

Ühendused teiste küberkuritegevuse rühmadega

SafeChati ründekampaanias on tuvastatud mitu taktikat, tehnikat ja protseduure (TTP), millel on silmatorkav sarnasus mõne teise India riigi toetatud ohurühmaga, mida tuntakse nimetuse „Ära APT” (APT-C-35) nime all. Nimelt on 'DoNot APT' varem olnud seotud nuhkvarana toimivate võltsvestlusrakendustega Google Playsse imbumises. Kahe häkkerirühma sarnasused hõlmavad sama sertifitseerimisasutuse kasutamist, sarnaseid andmete varastamise metoodikaid, jagatud sihtimise ulatust ja Androidi rakenduste kasutamist nende kavandatud sihtmärkide nakatamiseks.

Need täheldatud paralleelid viitavad tugevalt võimalikule kattumisele või tihedale koostööle kahe ohurühma vahel. Lisaks võib andmete varastamise tehnikate sarnasus ja jagatud sihtimise fookus viidata nende rünnakute ühisele eesmärgile või eesmärgile.

Asjaolu, et mõlemad rühmad on kasutanud Androidi rakendusi sissetungimise vahendina, tugevdab veelgi arusaama võimalikust koostööst või teadmiste jagamisest. On ülioluline võtta neid koostöönäitajaid tõsiselt, kuna need tähendavad nende riiklikult toetatud rühmituste algatatud rünnakute keerukuse ja keerukuse võimalikku suurenemist.