Malware per dispositivi mobili SafeChat
Gli hacker sono stati scoperti utilizzando un'applicazione Android ingannevole chiamata "SafeChat" per infettare i dispositivi con malware spyware. Questo software dannoso mira a rubare informazioni sensibili dai telefoni, inclusi registri delle chiamate, messaggi di testo e posizioni GPS.
Si sospetta che lo spyware Android sia una variante del famigerato malware "Coverlm", noto per le sue capacità di furto di dati da varie app di comunicazione. Le applicazioni mirate includono piattaforme popolari come Telegram, Signal, WhatsApp, Viber e Facebook Messenger.
Si ritiene che dietro questa campagna ci sia il gruppo indiano di hacking APT noto come "Bahamut ". Sono stati identificati come gli autori dei recenti attacchi, principalmente utilizzando messaggi di spear phishing distribuiti tramite WhatsApp. Questi messaggi contengono payload minacciosi, che vengono consegnati direttamente ai dispositivi delle vittime. Gli obiettivi principali di questa campagna Bahamut sono gli utenti che si trovano nell'Asia meridionale.
Il malware SafeChat si maschera da legittima applicazione di messaggistica
Una tattica comune utilizzata dagli aggressori è cercare di convincere le vittime a installare un'applicazione di chat, sostenendo che fornirà loro una piattaforma di comunicazione più sicura. Secondo gli esperti di sicurezza informatica, lo spyware camuffato da Safe Chat utilizza un'interfaccia utente ingannevole che imita una vera app di chat. Inoltre, guida la vittima attraverso quello che sembra essere un legittimo processo di registrazione dell'utente, aggiungendo credibilità e fungendo da copertura perfetta per le attività dannose dello spyware.
Un passaggio cruciale nel processo di infezione comporta l'ottenimento di autorizzazioni importanti, come la possibilità di utilizzare i servizi di accessibilità. Queste autorizzazioni vengono quindi utilizzate in modo improprio per garantire automaticamente allo spyware un ulteriore accesso ai dati sensibili. Più specificamente, lo spyware ottiene l'accesso all'elenco dei contatti della vittima, ai messaggi SMS, ai registri delle chiamate, all'archiviazione del dispositivo esterno e può recuperare dati precisi sulla posizione GPS dal dispositivo compromesso.
Inoltre, frammenti del file Manifest di Android rivelano che l'autore della minaccia dietro lo spyware lo ha progettato per interagire con altre applicazioni di chat già installate. L'interazione avviene attraverso l'uso di intenti e l'autorizzazione OPEN_DOCUMENT_TREE consente allo spyware di selezionare directory specifiche e accedere alle app menzionate nell'intento.
Per esfiltrare i dati raccolti dal dispositivo infetto, lo spyware utilizza un modulo di esfiltrazione dati dedicato. Le informazioni vengono quindi trasferite al server Command-and-Control (C2) dell'attaccante attraverso la porta 2053. Per garantire la riservatezza delle informazioni esfiltrate durante la trasmissione, lo spyware utilizza la crittografia facilitata da un altro modulo che supporta RSA, ECB e OAEPPadding. Inoltre, gli aggressori utilizzano un certificato "lets encrypt" per eludere qualsiasi tentativo di intercettazione dei dati di rete effettuato contro di loro.
Connessioni ad altri gruppi di criminalità informatica
Nella campagna di attacco SafeChat sono state identificate diverse tattiche, tecniche e procedure (TTP), che presentano una sorprendente somiglianza con un altro gruppo di minaccia sponsorizzato dallo stato indiano noto come "DoNot APT" (APT-C-35). In particolare, "DoNot APT" è stato precedentemente coinvolto nell'infiltrazione di Google Play con app di chat false che funzionano come spyware. Le somiglianze tra i due gruppi di hacker includono l'uso della stessa autorità di certificazione, metodologie di furto di dati simili, un ambito di targeting condiviso e l'utilizzo di app Android per infettare gli obiettivi previsti.
Questi parallelismi osservati suggeriscono fortemente una potenziale sovrapposizione o una stretta collaborazione tra i due gruppi di minacce. Inoltre, la somiglianza nelle tecniche di furto di dati e il focus condiviso sul targeting possono indicare un obiettivo o uno scopo comune nei loro attacchi.
Il fatto che entrambi i gruppi abbiano utilizzato app Android come mezzo di infiltrazione rafforza ulteriormente l'idea di una possibile collaborazione o condivisione delle conoscenze. È fondamentale prendere sul serio queste indicazioni di collaborazione poiché indicano un potenziale aumento della sofisticazione e della complessità degli attacchi lanciati da questi gruppi sponsorizzati dallo stato.
