SafeChat Mobile Malware

Hackereket fedeztek fel, akik a „SafeChat” nevű, megtévesztő Android-alkalmazást használják, hogy kémprogramokkal fertőzzék meg az eszközöket. Ennek a rosszindulatú szoftvernek az a célja, hogy érzékeny információkat lopjon el a telefonokról, beleértve a hívásnaplókat, szöveges üzeneteket és GPS-helyeket.

Az Android kémprogram a hírhedt „Coverlm” kártevő egy változata, amely a különféle kommunikációs alkalmazásokból származó adatlopási képességeiről ismert. A megcélzott alkalmazások között olyan népszerű platformok szerepelnek, mint a Telegram, a Signal, a WhatsApp, a Viber és a Facebook Messenger.

A kampány hátterében a „Bahamut ” néven ismert indiai APT hackercsoport állhat. Őket azonosították a legutóbbi támadások elkövetőiként, elsősorban a WhatsApp-on keresztül terjesztett lándzsás adathalász üzenetekkel. Ezek az üzenetek fenyegető rakományokat hordoznak, amelyeket közvetlenül az áldozatok eszközeire juttatnak el. A Bahamut kampány elsődleges célpontjai a Dél-Ázsiában élő felhasználók.

A SafeChat rosszindulatú program legitim üzenetküldő alkalmazásnak álcázza magát

A támadók gyakori taktikája, hogy megpróbálják rávenni az áldozatokat egy csevegőalkalmazás telepítésére, azt állítva, hogy az biztonságosabb kommunikációs platformot biztosít számukra. Az infosec szakértői szerint a Safe Chat-nek álcázott kémprogram megtévesztő felhasználói felületet alkalmaz, amely egy valódi chat-alkalmazást utánoz. Ezen túlmenően végigvezeti az áldozatot egy legitimnek tűnő felhasználói regisztrációs folyamaton, növelve a hitelességet, és tökéletes fedezékként szolgál a kémprogramok rosszindulatú tevékenységeire.

A fertőzési folyamat döntő lépése a fontos engedélyek beszerzése, például az akadálymentesítési szolgáltatások használatának képessége. Ezekkel az engedélyekkel visszaélnek, hogy a kémprogramok automatikusan további hozzáférést biztosítsanak az érzékeny adatokhoz. Pontosabban, a kémprogram hozzáfér az áldozat névjegyzékéhez, SMS-üzeneteihez, hívásnaplóihoz, külső eszköztárához, és pontos GPS-helyadatokat tud lekérni a feltört eszközről.

Ezenkívül az Android Manifest fájlból származó részletek azt mutatják, hogy a kémprogram mögött álló fenyegetettség szereplője úgy tervezte, hogy más, már telepített csevegőalkalmazásokkal kommunikáljon. Az interakció szándékok használatával történik, és az OPEN_DOCUMENT_TREE engedély lehetővé teszi a spyware számára, hogy meghatározott könyvtárakat válasszon, és hozzáférjen a szándékban említett alkalmazásokhoz.

A fertőzött eszközről gyűjtött adatok kiszűrésére a kémprogram egy dedikált adatszűrő modult használ. Az információ ezután a támadó Command-and-Control (C2) szerverére kerül átvitelre a 2053-as porton keresztül. A kiszivárgott információk titkosságának biztosítása érdekében az átvitel során a kémprogram titkosítást használ, amelyet egy másik modul segít elő, amely támogatja az RSA-t, az ECB-t és az OAEPPadding-ot. Ezen túlmenően a támadók "lets encrypt" tanúsítványt alkalmaznak, hogy elkerüljék az ellenük irányuló hálózati adatok elfogási kísérleteit.

Kapcsolatok más kiberbűnözési csoportokkal

A SafeChat támadási kampányában számos taktikát, technikát és eljárást (TTP) azonosítottak, amelyek feltűnő hasonlóságot mutatnak egy másik, indiai állam által szponzorált fenyegetési csoporttal, a „DoNot APT” (APT-C-35) néven. Nevezetesen, a „DoNot APT” korábban részt vett abban, hogy kémprogramként funkcionáló hamis csevegőalkalmazásokkal beszivárogjon a Google Playbe. A két hackercsoport közötti hasonlóságok közé tartozik az azonos tanúsító hatóság használata, a hasonló adatlopási módszerek, a megosztott célzási hatókör, valamint az Android-alkalmazások felhasználása a tervezett célpontok megfertőzésére.

Ezek a megfigyelt párhuzamok erősen arra utalnak, hogy lehetséges átfedés vagy szoros együttműködés a két fenyegetett csoport között. Ezenkívül az adatlopási technikák hasonlósága és a megosztott célzási fókusz közös célt vagy célt jelezhet támadásaik során.

Az a tény, hogy mindkét csoport Android-alkalmazásokat alkalmazott a beszivárgás eszközeként, tovább erősíti a lehetséges együttműködés vagy tudásmegosztás fogalmát. Alapvető fontosságú, hogy komolyan vegyük az együttműködés ezen jeleit, mivel ezek az államilag támogatott csoportok által indított támadások kifinomultságának és összetettségének lehetséges növekedését jelentik.