بدافزار موبایل SafeChat
کشف شده است که هکرها از یک برنامه اندرویدی فریبنده به نام "SafeChat" برای آلوده کردن دستگاه ها به بدافزارهای جاسوسی استفاده می کنند. هدف این نرم افزار مخرب سرقت اطلاعات حساس از تلفن ها، از جمله گزارش تماس ها، پیام های متنی و مکان های GPS است.
گمان می رود که نرم افزار جاسوسی اندروید نوعی بدافزار بدنام 'Coverlm' باشد که به دلیل قابلیت سرقت داده ها از برنامه های ارتباطی مختلف شناخته شده است. برنامه های مورد نظر شامل پلتفرم های محبوبی مانند تلگرام، سیگنال، واتس اپ، وایبر و مسنجر فیس بوک است.
گمان می رود که گروه هکر هندی APT معروف به "باهاموت " پشت این کمپین باشد. آنها به عنوان عاملان حملات اخیر شناسایی شده اند که عمدتاً از پیام های فیشینگ نیزه ای توزیع شده از طریق واتس اپ استفاده می کنند. این پیامها محمولههای تهدیدآمیز را حمل میکنند که مستقیماً به دستگاههای قربانیان تحویل داده میشوند. هدف اصلی این کمپین باهاموت کاربرانی هستند که در جنوب آسیا قرار دارند.
بدافزار SafeChat به عنوان یک برنامه پیام رسانی قانونی معرفی می شود
یک تاکتیک متداول که توسط مهاجمان استفاده میشود این است که قربانیان را متقاعد میکنند تا یک برنامه چت را نصب کنند و ادعا میکنند که پلتفرم ارتباطی امنتری برای آنها فراهم میکند. به گفته کارشناسان infosec، این نرم افزار جاسوسی که به عنوان Safe Chat پنهان شده است، از یک رابط کاربری فریبنده استفاده می کند که یک برنامه چت واقعی را تقلید می کند. علاوه بر این، قربانی را از طریق فرآیندی که به نظر میرسد قانونی ثبت نام کاربر است، هدایت میکند، اعتبار را اضافه میکند و به عنوان پوششی عالی برای فعالیتهای مخرب نرمافزار جاسوسی عمل میکند.
یک مرحله حیاتی در فرآیند عفونت شامل دریافت مجوزهای مهم، مانند امکان استفاده از خدمات دسترسی است. سپس از این مجوزها برای اعطای دسترسی خودکار به نرم افزارهای جاسوسی به داده های حساس سوء استفاده می شود. به طور خاص تر، این نرم افزار جاسوسی به لیست مخاطبین قربانی، پیام های SMS، گزارش تماس ها، ذخیره سازی دستگاه خارجی دسترسی پیدا می کند و می تواند داده های دقیق موقعیت مکانی GPS را از دستگاه در معرض خطر بازیابی کند.
علاوه بر این، قطعههایی از فایل Manifest Android نشان میدهد که عامل تهدید پشت این نرمافزار جاسوسی آن را برای تعامل با سایر برنامههای چت از قبل نصب شده طراحی کرده است. این تعامل از طریق استفاده از intent ها انجام می شود و مجوز OPEN_DOCUMENT_TREE به جاسوس افزار اجازه می دهد تا دایرکتوری های خاصی را انتخاب کند و به برنامه های ذکر شده در intent دسترسی داشته باشد.
برای استخراج دادههای جمعآوریشده از دستگاه آلوده، جاسوسافزار از یک ماژول استخراج داده اختصاصی استفاده میکند. سپس اطلاعات از طریق پورت 2053 به سرور Command-and-Control (C2) مهاجم منتقل می شود. برای اطمینان از محرمانه بودن اطلاعات استخراج شده در حین انتقال، جاسوس افزار از رمزگذاری استفاده می کند که توسط ماژول دیگری که RSA، ECB، و OAEPPadding را پشتیبانی می کند، تسهیل می شود. علاوه بر این، مهاجمان از یک گواهینامه "لیز رمزگذاری" استفاده می کنند تا از هرگونه تلاش رهگیری داده های شبکه که علیه آنها انجام می شود اجتناب کنند.
ارتباط با سایر گروه های جرایم سایبری
در کمپین حمله SafeChat، چندین تاکتیک، تکنیک و رویه (TTP) شناسایی شده است که شباهت قابل توجهی به گروه تهدید دیگر تحت حمایت دولت هند به نام «DoNot APT» (APT-C-35) دارد. قابل ذکر است، «DoNot APT» قبلاً در نفوذ به Google Play با برنامههای چت جعلی که به عنوان جاسوسافزار عمل میکنند، دست داشته است. شباهتهای بین دو گروه هکر شامل استفاده از مجوز یکسان، روشهای سرقت دادههای مشابه، محدوده هدفگیری مشترک و استفاده از برنامههای اندروید برای آلوده کردن اهداف مورد نظرشان است.
این تشابهات مشاهده شده قویاً همپوشانی بالقوه یا همکاری نزدیک بین دو گروه تهدید را نشان می دهد. علاوه بر این، شباهت در تکنیک های سرقت داده و تمرکز هدف گذاری مشترک ممکن است نشان دهنده یک هدف یا هدف مشترک در حملات آنها باشد.
این واقعیت که هر دو گروه از برنامههای اندروید به عنوان ابزاری برای نفوذ استفاده کردهاند، مفهوم همکاری احتمالی یا اشتراک دانش را بیشتر تقویت میکند. بسیار مهم است که این نشانههای همکاری را جدی بگیریم، زیرا نشاندهنده افزایش بالقوه در پیچیدگی و پیچیدگی حملاتی است که توسط این گروههای تحت حمایت دولت انجام میشود.