SafeChat Mobile ļaunprātīga programmatūra

Ir atklāti, ka hakeri izmanto maldinošu Android lietojumprogrammu "SafeChat", lai inficētu ierīces ar spiegprogrammatūru. Šīs ļaunprātīgās programmatūras mērķis ir izzagt sensitīvu informāciju no tālruņiem, tostarp zvanu žurnālus, īsziņas un GPS atrašanās vietas.

Ir aizdomas, ka Android spiegprogrammatūra ir bēdīgi slavenās ļaunprogrammatūras Coverlm variants, kas ir pazīstama ar savām datu zagšanas iespējām no dažādām saziņas lietotnēm. Mērķa lietojumprogrammas ietver tādas populāras platformas kā Telegram, Signal, WhatsApp, Viber un Facebook Messenger.

Tiek uzskatīts, ka aiz šīs kampaņas ir Indijas APT hakeru grupa, kas pazīstama kā Bahamut . Viņi ir identificēti kā vainīgie par nesenajiem uzbrukumiem, galvenokārt izmantojot pikšķerēšanas ziņojumus, kas izplatīti, izmantojot WhatsApp. Šajos ziņojumos ir biedējošas kravas, kas tiek tieši piegādātas upuru ierīcēm. Šīs Bahamut kampaņas galvenie mērķi ir lietotāji, kas atrodas Dienvidāzijā.

SafeChat ļaunprātīgā programmatūra tiek maskēta kā likumīga ziņojumapmaiņas lietojumprogramma

Izplatīta taktika, ko izmanto uzbrucēji, ir mēģināt pārliecināt upurus instalēt tērzēšanas lietojumprogrammu, apgalvojot, ka tā nodrošinās viņiem drošāku saziņas platformu. Saskaņā ar infosec ekspertu teikto, spiegprogrammatūra, kas maskēta kā Droša tērzēšana, izmanto maldinošu lietotāja interfeisu, kas atdarina īstu tērzēšanas lietotni. Turklāt tas palīdz upurim veikt, šķiet, likumīgu lietotāja reģistrācijas procesu, palielinot uzticamību un darbojoties kā ideāls aizsegs spiegprogrammatūras ļaunprātīgām darbībām.

Būtisks solis inficēšanās procesā ir svarīgu atļauju iegūšana, piemēram, iespēja izmantot pieejamības pakalpojumus. Pēc tam šīs atļaujas tiek ļaunprātīgi izmantotas, lai automātiski nodrošinātu spiegprogrammatūrai turpmāku piekļuvi sensitīviem datiem. Konkrētāk, spiegprogrammatūra iegūst piekļuvi upura kontaktu sarakstam, SMS ziņām, zvanu žurnāliem, ārējās ierīces krātuvei un var izgūt precīzus GPS atrašanās vietas datus no apdraudētās ierīces.

Turklāt Android manifesta faila fragmenti atklāj, ka spiegprogrammatūras radītais apdraudējums to ir izstrādājis, lai mijiedarbotos ar citām jau instalētajām tērzēšanas lietojumprogrammām. Mijiedarbība notiek, izmantojot nolūkus, un OPEN_DOCUMENT_TREE atļauja ļauj spiegprogrammatūrai atlasīt konkrētus direktorijus un piekļūt nolūkā minētajām lietotnēm.

Lai izfiltrētu no inficētās ierīces savāktos datus, spiegprogrammatūra izmanto īpašu datu izfiltrēšanas moduli. Pēc tam informācija tiek pārsūtīta uz uzbrucēja Command-and-Control (C2) serveri, izmantojot portu 2053. Lai nodrošinātu izfiltrētās informācijas konfidencialitāti pārraides laikā, spiegprogrammatūra izmanto šifrēšanu, ko veicina cits modulis, kas atbalsta RSA, ECB un OAEPPadding. Turklāt uzbrucēji izmanto sertifikātu "ļauj šifrēt", lai izvairītos no jebkādiem pret viņiem vērstiem tīkla datu pārtveršanas mēģinājumiem.

Savienojumi ar citām kibernoziedzības grupām

SafeChat uzbrukuma kampaņā ir identificētas vairākas taktikas, metodes un procedūras (TTP), kurām ir pārsteidzoša līdzība ar citu Indijas valsts sponsorētu draudu grupu, kas pazīstama kā “DoNot APT” (APT-C-35). Proti, “DoNot APT” iepriekš ir bijis iesaistīts, iefiltrējoties pakalpojumā Google Play ar viltotām tērzēšanas lietotnēm, kas darbojas kā spiegprogrammatūra. Līdzības starp abām hakeru grupām ietver vienas un tās pašas sertifikācijas iestādes izmantošanu, līdzīgas datu zagšanas metodes, kopīgu mērķauditorijas atlases jomu un Android lietotņu izmantošanu, lai inficētu to paredzētos mērķus.

Šīs novērotās paralēles liecina par iespējamu pārklāšanos vai ciešu sadarbību starp abām draudu grupām. Turklāt datu zagšanas metožu līdzība un kopīga mērķauditorijas atlase var norādīt uz kopīgu mērķi vai mērķi viņu uzbrukumos.

Fakts, ka abas grupas ir izmantojušas Android lietotnes kā infiltrācijas līdzekli, vēl vairāk stiprina priekšstatu par iespējamu sadarbību vai zināšanu apmaiņu. Ir ļoti svarīgi šīs sadarbības pazīmes uztvert nopietni, jo tās norāda uz šo valsts sponsorēto grupu uzbrukumu iespējamu izsmalcinātības un sarežģītības palielināšanos.