بدافزار موبایل SafeChat

کشف شده است که هکرها از یک برنامه اندرویدی فریبنده به نام "SafeChat" برای آلوده کردن دستگاه ها به بدافزارهای جاسوسی استفاده می کنند. هدف این نرم افزار مخرب سرقت اطلاعات حساس از تلفن ها، از جمله گزارش تماس ها، پیام های متنی و مکان های GPS است.

گمان می رود که نرم افزار جاسوسی اندروید نوعی بدافزار بدنام 'Coverlm' باشد که به دلیل قابلیت سرقت داده ها از برنامه های ارتباطی مختلف شناخته شده است. برنامه های مورد نظر شامل پلتفرم های محبوبی مانند تلگرام، سیگنال، واتس اپ، وایبر و مسنجر فیس بوک است.

گمان می رود که گروه هکر هندی APT معروف به "باهاموت " پشت این کمپین باشد. آنها به عنوان عاملان حملات اخیر شناسایی شده اند که عمدتاً از پیام های فیشینگ نیزه ای توزیع شده از طریق واتس اپ استفاده می کنند. این پیام‌ها محموله‌های تهدیدآمیز را حمل می‌کنند که مستقیماً به دستگاه‌های قربانیان تحویل داده می‌شوند. هدف اصلی این کمپین باهاموت کاربرانی هستند که در جنوب آسیا قرار دارند.

بدافزار SafeChat به عنوان یک برنامه پیام رسانی قانونی معرفی می شود

یک تاکتیک متداول که توسط مهاجمان استفاده می‌شود این است که قربانیان را متقاعد می‌کنند تا یک برنامه چت را نصب کنند و ادعا می‌کنند که پلتفرم ارتباطی امن‌تری برای آنها فراهم می‌کند. به گفته کارشناسان infosec، این نرم افزار جاسوسی که به عنوان Safe Chat پنهان شده است، از یک رابط کاربری فریبنده استفاده می کند که یک برنامه چت واقعی را تقلید می کند. علاوه بر این، قربانی را از طریق فرآیندی که به نظر می‌رسد قانونی ثبت نام کاربر است، هدایت می‌کند، اعتبار را اضافه می‌کند و به عنوان پوششی عالی برای فعالیت‌های مخرب نرم‌افزار جاسوسی عمل می‌کند.

یک مرحله حیاتی در فرآیند عفونت شامل دریافت مجوزهای مهم، مانند امکان استفاده از خدمات دسترسی است. سپس از این مجوزها برای اعطای دسترسی خودکار به نرم افزارهای جاسوسی به داده های حساس سوء استفاده می شود. به طور خاص تر، این نرم افزار جاسوسی به لیست مخاطبین قربانی، پیام های SMS، گزارش تماس ها، ذخیره سازی دستگاه خارجی دسترسی پیدا می کند و می تواند داده های دقیق موقعیت مکانی GPS را از دستگاه در معرض خطر بازیابی کند.

علاوه بر این، قطعه‌هایی از فایل Manifest Android نشان می‌دهد که عامل تهدید پشت این نرم‌افزار جاسوسی آن را برای تعامل با سایر برنامه‌های چت از قبل نصب شده طراحی کرده است. این تعامل از طریق استفاده از intent ها انجام می شود و مجوز OPEN_DOCUMENT_TREE به جاسوس افزار اجازه می دهد تا دایرکتوری های خاصی را انتخاب کند و به برنامه های ذکر شده در intent دسترسی داشته باشد.

برای استخراج داده‌های جمع‌آوری‌شده از دستگاه آلوده، جاسوس‌افزار از یک ماژول استخراج داده اختصاصی استفاده می‌کند. سپس اطلاعات از طریق پورت 2053 به سرور Command-and-Control (C2) مهاجم منتقل می شود. برای اطمینان از محرمانه بودن اطلاعات استخراج شده در حین انتقال، جاسوس افزار از رمزگذاری استفاده می کند که توسط ماژول دیگری که RSA، ECB، و OAEPPadding را پشتیبانی می کند، تسهیل می شود. علاوه بر این، مهاجمان از یک گواهینامه "لیز رمزگذاری" استفاده می کنند تا از هرگونه تلاش رهگیری داده های شبکه که علیه آنها انجام می شود اجتناب کنند.

ارتباط با سایر گروه های جرایم سایبری

در کمپین حمله SafeChat، چندین تاکتیک، تکنیک و رویه (TTP) شناسایی شده است که شباهت قابل توجهی به گروه تهدید دیگر تحت حمایت دولت هند به نام «DoNot APT» (APT-C-35) دارد. قابل ذکر است، «DoNot APT» قبلاً در نفوذ به Google Play با برنامه‌های چت جعلی که به عنوان جاسوس‌افزار عمل می‌کنند، دست داشته است. شباهت‌های بین دو گروه هکر شامل استفاده از مجوز یکسان، روش‌های سرقت داده‌های مشابه، محدوده هدف‌گیری مشترک و استفاده از برنامه‌های اندروید برای آلوده کردن اهداف مورد نظرشان است.

این تشابهات مشاهده شده قویاً همپوشانی بالقوه یا همکاری نزدیک بین دو گروه تهدید را نشان می دهد. علاوه بر این، شباهت در تکنیک های سرقت داده و تمرکز هدف گذاری مشترک ممکن است نشان دهنده یک هدف یا هدف مشترک در حملات آنها باشد.

این واقعیت که هر دو گروه از برنامه‌های اندروید به عنوان ابزاری برای نفوذ استفاده کرده‌اند، مفهوم همکاری احتمالی یا اشتراک دانش را بیشتر تقویت می‌کند. بسیار مهم است که این نشانه‌های همکاری را جدی بگیریم، زیرا نشان‌دهنده افزایش بالقوه در پیچیدگی و پیچیدگی حملاتی است که توسط این گروه‌های تحت حمایت دولت انجام می‌شود.