SafeChat mobilni zlonamjerni softver
Otkriveno je da hakeri koriste varljivu Android aplikaciju pod nazivom 'SafeChat' kako bi zarazili uređaje zlonamjernim špijunskim softverom. Ovaj zlonamjerni softver ima za cilj krađu osjetljivih informacija s telefona, uključujući zapise poziva, tekstualne poruke i GPS lokacije.
Sumnja se da je špijunski softver za Android varijanta zloglasnog zlonamjernog softvera 'Coverlm', poznatog po svojim mogućnostima krađe podataka iz raznih komunikacijskih aplikacija. Ciljane aplikacije uključuju popularne platforme kao što su Telegram, Signal, WhatsApp, Viber i Facebook Messenger.
Vjeruje se da iza ove kampanje stoji indijska hakerska skupina APT poznata kao 'Bahamut '. Oni su identificirani kao počinitelji odgovorni za nedavne napade, prvenstveno koristeći spear phishing poruke distribuirane putem WhatsAppa. Te poruke nose prijeteće sadržaje koji se izravno isporučuju na uređaje žrtava. Primarni ciljevi ove Bahamut kampanje su korisnici koji se nalaze u južnoj Aziji.
Zlonamjerni softver SafeChat predstavlja se kao legitimna aplikacija za razmjenu poruka
Uobičajena taktika koju koriste napadači je pokušati uvjeriti žrtve da instaliraju aplikaciju za chat, tvrdeći da će im pružiti sigurniju komunikacijsku platformu. Prema stručnjacima za infosec, špijunski softver prerušen u Safe Chat koristi lažno korisničko sučelje koje oponaša originalnu aplikaciju za chat. Nadalje, vodi žrtvu kroz ono što se čini legitimnim procesom registracije korisnika, dodajući vjerodostojnost i djelujući kao savršeno pokriće za zlonamjerne aktivnosti špijunskog softvera.
Ključni korak u procesu infekcije uključuje dobivanje važnih dopuštenja, kao što je mogućnost korištenja usluga pristupačnosti. Ta se dopuštenja zatim zlorabe kako bi se špijunskom softveru automatski omogućio daljnji pristup osjetljivim podacima. Točnije, špijunski softver dobiva pristup popisu kontakata žrtve, SMS porukama, zapisima poziva, pohrani vanjskog uređaja i može dohvatiti precizne podatke o GPS lokaciji s ugroženog uređaja.
Osim toga, isječci iz Android datoteke manifesta otkrivaju da je prijetnja koja stoji iza špijunskog softvera dizajnirala za interakciju s drugim već instaliranim aplikacijama za chat. Interakcija se odvija upotrebom namjera, a dopuštenje OPEN_DOCUMENT_TREE omogućuje špijunskom softveru odabir određenih direktorija i pristup aplikacijama spomenutim u namjeri.
Za eksfiltraciju podataka prikupljenih sa zaraženog uređaja, špijunski softver koristi namjenski modul za eksfiltraciju podataka. Informacije se zatim prenose na napadačev Command-and-Control (C2) poslužitelj preko priključka 2053. Kako bi se osigurala povjerljivost eksfiltriranih informacija tijekom prijenosa, špijunski softver koristi enkripciju koju omogućuje drugi modul koji podržava RSA, ECB i OAEPPadding. Nadalje, napadači koriste certifikat "lets encrypt" kako bi izbjegli sve pokušaje presretanja mrežnih podataka protiv njih.
Veze s drugim skupinama kibernetičkog kriminala
U kampanji napada na SafeChat identificirano je nekoliko taktika, tehnika i postupaka (TTP) koji zapanjujuće podsjećaju na drugu indijsku državno sponzoriranu prijetnju skupinu poznatu kao 'Nemoj APT' (APT-C-35). Naime, 'DoNot APT' je prethodno bio uključen u infiltraciju Google Playa s lažnim aplikacijama za chat koje funkcioniraju kao špijunski softver. Sličnosti između dviju hakerskih skupina uključuju korištenje istog autoriteta za izdavanje certifikata, slične metodologije krađe podataka, zajednički opseg ciljanja i korištenje Android aplikacija za zarazu njihovih ciljanih ciljeva.
Ove uočene paralele snažno sugeriraju potencijalno preklapanje ili blisku suradnju između dviju skupina prijetnji. Osim toga, sličnost u tehnikama krađe podataka i zajednički fokus ciljanja mogu ukazivati na zajednički cilj ili svrhu njihovih napada.
Činjenica da su obje skupine koristile Android aplikacije kao sredstvo infiltracije dodatno ojačava ideju moguće suradnje ili dijeljenja znanja. Ključno je ozbiljno shvatiti ove naznake suradnje jer one označavaju potencijalno povećanje sofisticiranosti i složenosti napada koje pokreću te skupine koje sponzorira država.
