SafeChat mobil skadelig programvare

Hackere har blitt oppdaget ved å bruke en villedende Android-applikasjon kalt 'SafeChat' for å infisere enheter med spionprogramvare. Denne ondsinnede programvaren tar sikte på å stjele sensitiv informasjon fra telefoner, inkludert anropslogger, tekstmeldinger og GPS-plasseringer.

Android-spywaren er mistenkt for å være en variant av den beryktede 'Coverlm'-malwaren, kjent for sine datastjelingsevner fra ulike kommunikasjonsapper. De målrettede applikasjonene inkluderer populære plattformer som Telegram, Signal, WhatsApp, Viber og Facebook Messenger.

Den indiske APT-hackinggruppen kjent som 'Bahamut ' antas å stå bak denne kampanjen. De har blitt identifisert som gjerningsmennene som er ansvarlige for de siste angrepene, primært ved å bruke spyd-phishing-meldinger distribuert via WhatsApp. Disse meldingene har truende nyttelast, som leveres direkte til ofrenes enheter. De primære målene for denne Bahamut-kampanjen er brukere i Sør-Asia.

SafeChat Malware maskerer seg som en legitim meldingsapplikasjon

En vanlig taktikk brukt av angripere er å prøve å overtale ofre til å installere en chat-applikasjon, og hevder at den vil gi dem en sikrere kommunikasjonsplattform. Ifølge infosec-eksperter bruker spionprogrammet forkledd som Safe Chat et villedende brukergrensesnitt som etterligner en ekte chat-app. Videre guider den offeret gjennom det som ser ut til å være en legitim brukerregistreringsprosess, legger til troverdighet og fungerer som et perfekt dekke for spionvarens ondsinnede aktiviteter.

Et avgjørende trinn i infeksjonsprosessen innebærer å skaffe viktige tillatelser, for eksempel muligheten til å bruke tilgjengelighetstjenester. Disse tillatelsene blir deretter misbrukt for å gi spionvaren ytterligere tilgang til sensitive data automatisk. Mer spesifikt får spyware tilgang til offerets kontaktliste, SMS-meldinger, anropslogger, ekstern enhetslagring og kan hente nøyaktige GPS-posisjonsdata fra den kompromitterte enheten.

I tillegg avslører utdrag fra Android Manifest-filen at trusselaktøren bak spionvaren designet den for å samhandle med andre allerede installerte chatteapplikasjoner. Interaksjonen skjer gjennom bruk av intensjoner, og OPEN_DOCUMENT_TREE-tillatelsen lar spionvaren velge spesifikke kataloger og få tilgang til appene nevnt i intensjonen.

For å eksfiltrere dataene som er samlet inn fra den infiserte enheten, bruker spionvaren en dedikert dataeksfiltreringsmodul. Informasjonen overføres deretter til angriperens Command-and-Control-server (C2) gjennom port 2053. For å sikre konfidensialiteten til den eksfiltrerte informasjonen under overføring, bruker spionvaren kryptering tilrettelagt av en annen modul som støtter RSA, ECB og OAEPPadding. Videre bruker angriperne et "lets encrypt"-sertifikat for å unngå ethvert avlyttingsforsøk av nettverksdata mot dem.

Tilkoblinger til andre nettkriminalitetsgrupper

I SafeChat-angrepskampanjen har flere taktikker, teknikker og prosedyrer (TTP) blitt identifisert, som har en slående likhet med en annen indisk statsstøttet trusselgruppe kjent som 'DoNot APT' (APT-C-35). Spesielt har 'DoNot APT' tidligere vært involvert i å infiltrere Google Play med falske chat-apper som fungerer som spyware. Likhetene mellom de to hackergruppene inkluderer bruken av samme sertifikatmyndighet, lignende metoder for datatyveri, et delt målrettingsomfang og bruken av Android-apper for å infisere deres tiltenkte mål.

Disse observerte parallellene tyder sterkt på en potensiell overlapping eller tett samarbeid mellom de to trusselgruppene. I tillegg kan likheten i datastjelingsteknikker og det delte målrettingsfokuset indikere et felles mål eller formål med angrepene deres.

Det faktum at begge gruppene har brukt Android-apper som infiltrasjonsmiddel styrker forestillingen om mulig samarbeid eller kunnskapsdeling ytterligere. Det er avgjørende å ta disse indikasjonene på samarbeid på alvor, da de indikerer en potensiell økning i sofistikeringen og kompleksiteten til angrepene som ble lansert av disse statsstøttede gruppene.