SafeChat Mobile -haittaohjelma

Hakkereiden on havaittu käyttävän petollista Android-sovellusta nimeltä "SafeChat" tartuttaakseen laitteita vakoiluohjelmilla. Tämä haittaohjelmisto pyrkii varastamaan arkaluontoisia tietoja puhelimista, mukaan lukien puhelulokit, tekstiviestit ja GPS-sijainnit.

Android-vakoiluohjelman epäillään olevan muunnelma pahamaineisesta Coverlm-haittaohjelmasta, joka tunnetaan tietojen varastamisen kyvystään eri viestintäsovelluksista. Kohdennettuihin sovelluksiin kuuluvat suositut alustat, kuten Telegram, Signal, WhatsApp, Viber ja Facebook Messenger.

Intialaisen APT-hakkerointiryhmän "Bahamut " uskotaan olevan tämän kampanjan takana. Heidät on tunnistettu viimeaikaisiin hyökkäyksiin syyllisiksi pääasiassa WhatsAppin kautta jaettujen keihästietojenkalasteluviestien avulla. Nämä viestit kuljettavat uhkaavia hyötykuormia, jotka toimitetaan suoraan uhrien laitteisiin. Tämän Bahamut-kampanjan ensisijaiset kohteet ovat Etelä-Aasiassa sijaitsevat käyttäjät.

SafeChat-haittaohjelma naamioituu lailliseksi viestintäsovellukseksi

Hyökkääjien yleinen taktiikka on yrittää suostutella uhria asentamaan chat-sovellus väittäen, että se tarjoaa heille turvallisemman viestintäalustan. Infosecin asiantuntijoiden mukaan Safe Chatiksi naamioitu vakoiluohjelma käyttää petollista käyttöliittymää, joka jäljittelee aitoa chat-sovellusta. Lisäksi se opastaa uhria laillisen käyttäjän rekisteröintiprosessin läpi, lisää uskottavuutta ja toimii täydellisenä suojana vakoiluohjelman haitallisille toimille.

Tärkeä vaihe tartuntaprosessissa on tärkeiden käyttöoikeuksien, kuten esteettömyyspalveluiden käyttö, hankkiminen. Näitä oikeuksia käytetään sitten väärin myöntämään vakoiluohjelmalle lisäpääsy arkaluonteisiin tietoihin automaattisesti. Tarkemmin sanottuna vakoiluohjelma pääsee käsiksi uhrin yhteystietoluetteloon, tekstiviesteihin, puhelulokiin, ulkoisen laitteen tallennustilaan ja voi hakea tarkat GPS-sijaintitiedot vaarantuneelta laitteelta.

Lisäksi katkelmat Android Manifest -tiedostosta paljastavat, että vakoiluohjelman takana oleva uhkatekijä suunnitteli sen olemaan vuorovaikutuksessa muiden jo asennettujen chat-sovellusten kanssa. Vuorovaikutus tapahtuu tarkoitusten käytön kautta, ja OPEN_DOCUMENT_TREE-lupa antaa vakoiluohjelmille mahdollisuuden valita tiettyjä hakemistoja ja käyttää tarkoituksessa mainittuja sovelluksia.

Vakoiluohjelma käyttää erillistä tietojen suodatusmoduulia tartunnan saaneelta laitteelta kerättyjen tietojen suodattamiseksi. Tiedot siirretään sitten hyökkääjän Command-and-Control (C2) -palvelimelle portin 2053 kautta. Jotta suodatettujen tietojen luottamuksellisuus voidaan varmistaa lähetyksen aikana, vakoiluohjelma käyttää salausta, jota helpottaa toinen moduuli, joka tukee RSA:ta, ECB:tä ja OAEPPaddingia. Lisäksi hyökkääjät käyttävät "lets encrypt" -varmennetta välttääkseen heitä vastaan tehdyt verkkotietojen sieppausyritykset.

Yhteydet muihin tietoverkkorikollisryhmiin

SafeChat-hyökkäyskampanjassa on tunnistettu useita taktiikoita, tekniikoita ja menettelyjä (TTP), jotka muistuttavat hämmästyttävän toista Intian valtion tukemaa uhkaryhmää nimeltä "DoNot APT" (APT-C-35). Erityisesti "DoNot APT" on aiemmin ollut mukana tunkeutumassa Google Playhin väärennetyillä chat-sovelluksilla, jotka toimivat vakoiluohjelmina. Kahden hakkeriryhmän välisiä yhtäläisyyksiä ovat saman varmenteen myöntäjän käyttö, samanlaiset tietojen varastamisen menetelmät, jaettu kohdistusalue ja Android-sovellusten käyttö aiottujen kohteiden tartuttamiseen.

Nämä havaitut yhtäläisyydet viittaavat vahvasti mahdolliseen päällekkäisyyteen tai läheiseen yhteistyöhön näiden kahden uhkaryhmän välillä. Lisäksi tietojen varastamisen tekniikoiden samankaltaisuus ja jaettu kohdistus voi viitata yhteiseen päämäärään tai tarkoitukseen heidän hyökkäyksissään.

Se, että molemmat ryhmät ovat käyttäneet Android-sovelluksia tunkeutumiskeinona, vahvistaa entisestään käsitystä mahdollisesta yhteistyöstä tai tiedon jakamisesta. On ratkaisevan tärkeää ottaa nämä yhteistyön merkit vakavasti, koska ne merkitsevät näiden valtion tukemien ryhmien tekemien hyökkäysten mahdollista kehittymistä ja monimutkaisuutta.