„SafeChat Mobile“ kenkėjiška programa
Nustatyta, kad įsilaužėliai naudoja apgaulingą „Android“ programą „SafeChat“, kad užkrėstų įrenginius šnipinėjimo programomis. Šia kenkėjiška programine įranga siekiama pavogti slaptą informaciją iš telefonų, įskaitant skambučių žurnalus, tekstinius pranešimus ir GPS vietas.
Įtariama, kad „Android“ šnipinėjimo programa yra liūdnai pagarsėjusios „Coverlm“ kenkėjiškos programos, žinomos dėl duomenų vagystės iš įvairių komunikacijos programų, variantas. Tikslinės programos apima tokias populiarias platformas kaip „Telegram“, „Signal“, „WhatsApp“, „Viber“ ir „Facebook Messenger“.
Manoma, kad už šios kampanijos yra Indijos APT įsilaužimo grupė, žinoma kaip „Bahamut “. Jie buvo nustatyti kaip kaltininkai, atsakingi už pastarojo meto atakas, daugiausia naudojant „WhatsApp“ platinamus sukčiavimo pranešimus. Šie pranešimai neša grėsmingus krovinius, kurie tiesiogiai siunčiami į aukų įrenginius. Pagrindiniai šios Bahamut kampanijos taikiniai yra vartotojai, esantys Pietų Azijoje.
„SafeChat“ kenkėjiška programa maskuoja kaip teisėta pranešimų siuntimo programa
Įprasta užpuolikų taktika yra bandyti įtikinti aukas įdiegti pokalbių programą, teigiant, kad tai suteiks joms saugesnę bendravimo platformą. Pasak infosec ekspertų, šnipinėjimo programoje, užmaskuotoje kaip saugus pokalbis, naudojama apgaulinga vartotojo sąsaja, kuri imituoja tikrą pokalbių programą. Be to, jis nukreipia auką per, atrodo, teisėtą vartotojo registracijos procesą, padidina patikimumą ir veikia kaip tobula šnipinėjimo programų kenkėjiškos veiklos priedanga.
Esminis užkrėtimo proceso veiksmas yra svarbių leidimų gavimas, pvz., galimybė naudotis pritaikymo neįgaliesiems paslaugomis. Tada šie leidimai netinkamai naudojami siekiant automatiškai suteikti šnipinėjimo programoms tolesnę prieigą prie neskelbtinų duomenų. Tiksliau sakant, šnipinėjimo programa gauna prieigą prie aukos kontaktų sąrašo, SMS žinučių, skambučių žurnalų, išorinio įrenginio saugyklos ir gali nuskaityti tikslius GPS vietos duomenis iš pažeisto įrenginio.
Be to, „Android Manifest“ failo fragmentai atskleidžia, kad šnipinėjimo programų grėsmės veikėjas sukūrė jas sąveikauti su kitomis jau įdiegtomis pokalbių programomis. Sąveika vyksta naudojant ketinimus, o OPEN_DOCUMENT_TREE leidimas leidžia šnipinėjimo programoms pasirinkti konkrečius katalogus ir pasiekti ketinime nurodytas programas.
Norėdami išfiltruoti duomenis, surinktus iš užkrėsto įrenginio, šnipinėjimo programa naudoja tam skirtą duomenų išfiltravimo modulį. Tada informacija perkeliama į užpuoliko komandų ir valdymo (C2) serverį per 2053 prievadą. Siekdama užtikrinti išfiltruotos informacijos konfidencialumą perdavimo metu, šnipinėjimo programa naudoja šifravimą, kurį palengvina kitas modulis, palaikantis RSA, ECB ir OAEPPadding. Be to, užpuolikai naudoja sertifikatą „leidžia užšifruoti“, kad išvengtų bet kokių bandymų perimti tinklo duomenis.
Ryšiai su kitomis elektroninių nusikaltimų grupėmis
„SafeChat“ atakų kampanijoje buvo nustatytos kelios taktikos, metodai ir procedūros (TTP), kurios labai panašios į kitą Indijos valstybės remiamą grėsmių grupę, vadinamą „DoNot APT“ (APT-C-35). Pažymėtina, kad „DoNot APT“ anksčiau buvo įsitraukęs į „Google Play“ su netikromis pokalbių programomis, kurios veikia kaip šnipinėjimo programos. Dviejų įsilaužėlių grupių panašumai apima tos pačios sertifikavimo institucijos naudojimą, panašias duomenų vagystės metodikas, bendrą taikymo sritį ir „Android“ programų naudojimą siekiant užkrėsti numatytus taikinius.
Šios pastebėtos paralelės aiškiai rodo galimą dviejų grėsmių grupių sutapimą arba glaudų bendradarbiavimą. Be to, duomenų vagystės metodų panašumas ir bendras nukreipimas gali rodyti bendrą jų atakų tikslą arba tikslą.
Tai, kad abi grupės naudojo „Android“ programas kaip įsiskverbimo priemonę, dar labiau sustiprina galimo bendradarbiavimo ar dalijimosi žiniomis sampratą. Labai svarbu rimtai atsižvelgti į šiuos bendradarbiavimo požymius, nes jie reiškia galimą šių valstybės remiamų grupių išpuolių sudėtingumą ir sudėtingumą.
