Perisian Hasad Mudah Alih SafeChat

Penggodam telah ditemui menggunakan aplikasi Android menipu yang dipanggil 'SafeChat' untuk menjangkiti peranti dengan perisian hasad pengintip. Perisian berniat jahat ini bertujuan untuk mencuri maklumat sensitif daripada telefon, termasuk log panggilan, mesej teks dan lokasi GPS.

Perisian intip Android disyaki sebagai varian perisian hasad 'Coverlm' yang terkenal, yang terkenal dengan keupayaan mencuri data daripada pelbagai aplikasi komunikasi. Aplikasi yang disasarkan termasuk platform popular seperti Telegram, Signal, WhatsApp, Viber dan Facebook Messenger.

Kumpulan penggodam APT India yang dikenali sebagai 'Bahamut ' dipercayai berada di belakang kempen ini. Mereka telah dikenal pasti sebagai pelaku yang bertanggungjawab terhadap serangan baru-baru ini, terutamanya menggunakan mesej pancingan lembing yang diedarkan melalui WhatsApp. Mesej ini membawa muatan yang mengancam, yang dihantar terus ke peranti mangsa. Sasaran utama kempen Bahamut ini adalah pengguna yang terletak di Asia Selatan.

Perisian Hasad SafeChat Menyamar sebagai Aplikasi Pemesejan yang Sah

Taktik biasa yang digunakan oleh penyerang adalah untuk mencuba dan memujuk mangsa supaya memasang aplikasi sembang, mendakwa bahawa ia akan memberikan mereka platform komunikasi yang lebih selamat. Menurut pakar infosec, perisian pengintip yang menyamar sebagai Sembang Selamat menggunakan antara muka pengguna yang mengelirukan yang meniru aplikasi sembang tulen. Tambahan pula, ia membimbing mangsa melalui proses pendaftaran pengguna yang sah, menambah kredibiliti dan bertindak sebagai perlindungan sempurna untuk aktiviti hasad perisian pengintip.

Langkah penting dalam proses jangkitan melibatkan mendapatkan kebenaran penting, seperti keupayaan untuk menggunakan Perkhidmatan Kebolehcapaian. Kebenaran ini kemudiannya disalahgunakan untuk memberikan perisian pengintip akses selanjutnya kepada data sensitif secara automatik. Lebih khusus lagi, perisian pengintip mendapat akses kepada senarai kenalan mangsa, mesej SMS, log panggilan, storan peranti luaran dan boleh mendapatkan semula data lokasi GPS yang tepat daripada peranti yang terjejas.

Selain itu, coretan daripada fail Manifes Android mendedahkan bahawa pelaku ancaman di sebalik perisian pengintip itu mereka bentuknya untuk berinteraksi dengan aplikasi sembang lain yang telah dipasang. Interaksi berlaku melalui penggunaan niat, dan kebenaran OPEN_DOCUMENT_TREE membenarkan perisian pengintip memilih direktori tertentu dan mengakses apl yang disebut dalam niat.

Untuk mengeksfiltrasi data yang dikumpul daripada peranti yang dijangkiti, perisian pengintip menggunakan modul penyingkiran data khusus. Maklumat itu kemudiannya dipindahkan ke pelayan Perintah-dan-Kawalan (C2) penyerang melalui port 2053. Untuk memastikan kerahsiaan maklumat yang dieksfiltrasi semasa penghantaran, perisian pengintip menggunakan penyulitan yang difasilitasi oleh modul lain yang menyokong RSA, ECB dan OAEPPadding. Tambahan pula, penyerang menggunakan sijil "lets encrypt" untuk mengelak sebarang percubaan pemintasan data rangkaian yang dibuat terhadap mereka.

Sambungan kepada Kumpulan Jenayah Siber Lain

Dalam kempen serangan SafeChat, beberapa Taktik, Teknik dan Prosedur (TTP) telah dikenal pasti, yang mempunyai persamaan yang ketara dengan satu lagi kumpulan ancaman tajaan kerajaan India yang dikenali sebagai 'DoNot APT' (APT-C-35). Terutama, 'DoNot APT' sebelum ini telah terlibat dalam menyusup masuk ke Google Play dengan aplikasi sembang palsu yang berfungsi sebagai perisian pengintip. Persamaan antara kedua-dua kumpulan penggodam termasuk penggunaan pihak berkuasa sijil yang sama, metodologi pencurian data yang serupa, skop penyasaran yang dikongsi dan penggunaan apl Android untuk menjangkiti sasaran yang dimaksudkan.

Persamaan yang diperhatikan ini amat mencadangkan kemungkinan pertindihan atau kerjasama rapat antara kedua-dua kumpulan ancaman. Selain itu, persamaan dalam teknik mencuri data dan fokus penyasaran yang dikongsi mungkin menunjukkan matlamat atau tujuan yang sama dalam serangan mereka.

Hakikat bahawa kedua-dua kumpulan telah menggunakan apl Android sebagai cara penyusupan mengukuhkan lagi tanggapan kemungkinan kerjasama atau perkongsian pengetahuan. Adalah penting untuk mengambil serius tanda-tanda kerjasama ini kerana ia menandakan potensi peningkatan dalam kecanggihan dan kerumitan serangan yang dilancarkan oleh kumpulan tajaan kerajaan ini.