תוכנה זדונית לנייד של SafeChat

האקרים התגלו כשהם משתמשים באפליקציית אנדרואיד מטעה בשם 'SafeChat' כדי להדביק מכשירים בתוכנות ריגול. תוכנה זדונית זו שואפת לגזל מידע רגיש מטלפונים, כולל יומני שיחות, הודעות טקסט ומיקומי GPS.

על פי החשד, תוכנת הריגול של אנדרואיד היא גרסה של התוכנה הזדונית 'Coverlm' הידועה לשמצה, הידועה ביכולות גניבת הנתונים שלה מאפליקציות תקשורת שונות. היישומים הממוקדים כוללים פלטפורמות פופולריות כמו Telegram, Signal, WhatsApp, Viber ו-Facebook Messenger.

קבוצת הפריצה ההודית APT הידועה בשם 'Bahamut ' היא מאמינים שעומדת מאחורי הקמפיין הזה. הם זוהו כמבצעים האחראים לתקיפות האחרונות, בעיקר באמצעות הודעות דיוג בחנית שהופצו באמצעות WhatsApp. הודעות אלו נושאות מטענים מאיימים, המועברים ישירות למכשירים של הקורבנות. היעדים העיקריים של קמפיין Bahamut זה הם משתמשים הממוקמים בדרום אסיה.

תוכנת ה-SafeChat Malware מתחזה לאפליקציית הודעות לגיטימית

טקטיקה נפוצה בה משתמשים התוקפים היא לנסות ולשכנע קורבנות להתקין אפליקציית צ'אט, בטענה שהיא תספק להם פלטפורמת תקשורת מאובטחת יותר. לדברי מומחי infosec, תוכנת הריגול המחופשת ל-Safe Chat משתמשת בממשק משתמש מטעה המחקה אפליקציית צ'אט מקורית. יתר על כן, הוא מנחה את הקורבן במהלך מה שנראה כהליך רישום משתמש לגיטימי, מוסיף אמינות ומתפקד ככיסוי מושלם לפעילויות הזדוניות של תוכנת הריגול.

שלב מכריע בתהליך ההדבקה כרוך בקבלת הרשאות חשובות, כגון היכולת להשתמש בשירותי נגישות. לאחר מכן נעשה שימוש לרעה בהרשאות אלה כדי להעניק לתוכנת הריגול גישה נוספת לנתונים רגישים באופן אוטומטי. ליתר דיוק, תוכנת הריגול משיגה גישה לרשימת אנשי הקשר של הקורבן, הודעות SMS, יומני שיחות, אחסון מכשיר חיצוני ויכולה לאחזר נתוני מיקום GPS מדויקים מהמכשיר שנפגע.

בנוסף, קטעים מקובץ ה-Android Manifest מגלים ששחקן האיום מאחורי תוכנת הריגול תכנן אותה לקיים אינטראקציה עם יישומי צ'אט אחרים שכבר הותקנו. האינטראקציה מתרחשת באמצעות שימוש בכוונות, והרשאת OPEN_DOCUMENT_TREE מאפשרת לתוכנת הריגול לבחור ספריות ספציפיות ולגשת לאפליקציות המוזכרות בכוונה.

כדי לחלץ את הנתונים שנאספו מהמכשיר הנגוע, תוכנת הריגול משתמשת במודול ייעודי לחילוץ נתונים. לאחר מכן, המידע מועבר לשרת Command-and-Control (C2) של התוקף דרך יציאה 2053. כדי להבטיח את סודיות המידע המוחלף במהלך השידור, תוכנת הריגול משתמשת בהצפנה המתאפשרת על ידי מודול אחר התומך ב-RSA, ECB ו-OAEPPadding. יתר על כן, התוקפים משתמשים בתעודת "מאפשר להצפין" כדי להתחמק מכל ניסיונות יירוט של נתוני רשת שנעשו נגדם.

חיבורים לקבוצות אחרות של פשעי סייבר

במסע התקיפה של SafeChat, זוהו מספר טקטיקות, טכניקות ונהלים (TTPs), אשר דומים בולט לקבוצת איומים אחרת בחסות מדינה הודית הידועה בשם 'DoNot APT' (APT-C-35). יש לציין, 'DoNot APT' היה מעורב בעבר בחדירת Google Play עם אפליקציות צ'אט מזויפות שמתפקדות כתוכנות ריגול. הדמיון בין שתי קבוצות ההאקרים כולל שימוש באותה רשות אישורים, מתודולוגיות דומות לגניבת נתונים, היקף מיקוד משותף ושימוש באפליקציות אנדרואיד כדי להדביק את המטרות המיועדות להן.

הקבלות אלו שנצפו מצביעות על חפיפה פוטנציאלית או שיתוף פעולה הדוק בין שתי קבוצות האיום. בנוסף, הדמיון בטכניקות גניבת נתונים ומיקוד המיקוד המשותף עשוי להצביע על מטרה או מטרה משותפת בהתקפות שלהם.

העובדה ששתי הקבוצות השתמשו באפליקציות אנדרואיד כאמצעי לחדירה מחזקת עוד יותר את הרעיון של שיתוף פעולה אפשרי או שיתוף ידע. חשוב להתייחס ברצינות לאינדיקציות הללו לשיתוף פעולה, שכן הן מסמלות עלייה פוטנציאלית בתחכום ובמורכבות של ההתקפות ששיגרו קבוצות אלה בחסות המדינה.