SafeChat mobiele malware

Er zijn hackers ontdekt die een misleidende Android-applicatie genaamd 'SafeChat' gebruiken om apparaten te infecteren met spyware-malware. Deze kwaadaardige software is bedoeld om gevoelige informatie van telefoons te stelen, waaronder oproeplogboeken, sms-berichten en gps-locaties.

De Android-spyware is vermoedelijk een variant van de beruchte 'Coverlm'-malware, bekend om zijn mogelijkheden om gegevens te stelen van verschillende communicatie-apps. De gerichte applicaties omvatten populaire platforms zoals Telegram, Signal, WhatsApp, Viber en Facebook Messenger.

Aangenomen wordt dat de Indiase hackgroep APT, bekend als 'Bahamut ', achter deze campagne zit. Ze zijn geïdentificeerd als de daders die verantwoordelijk zijn voor de recente aanvallen, voornamelijk met behulp van spear phishing-berichten die via WhatsApp worden verspreid. Deze berichten bevatten een dreigende payload, die rechtstreeks op de apparaten van de slachtoffers terechtkomt. De primaire doelwitten van deze Bahamut-campagne zijn gebruikers in Zuid-Azië.

De SafeChat-malware doet zich voor als een legitieme berichtentoepassing

Een veelgebruikte tactiek van aanvallers is om te proberen slachtoffers over te halen een chattoepassing te installeren, waarbij ze beweren dat ze hierdoor een veiliger communicatieplatform krijgen. Volgens infosec-experts gebruikt de als Safe Chat vermomde spyware een misleidende gebruikersinterface die een echte chat-app nabootst. Bovendien leidt het het slachtoffer door wat een legitiem gebruikersregistratieproces lijkt te zijn, voegt het geloofwaardigheid toe en fungeert het als een perfecte dekmantel voor de kwaadaardige activiteiten van de spyware.

Een cruciale stap in het infectieproces is het verkrijgen van belangrijke machtigingen, zoals de mogelijkheid om toegankelijkheidsservices te gebruiken. Deze machtigingen worden vervolgens misbruikt om de spyware automatisch verdere toegang tot gevoelige gegevens te verlenen. Meer specifiek krijgt de spyware toegang tot de contactenlijst van het slachtoffer, sms-berichten, oproeplogboeken, externe apparaatopslag en kan het nauwkeurige GPS-locatiegegevens ophalen van het gecompromitteerde apparaat.

Bovendien onthullen fragmenten uit het Android Manifest-bestand dat de bedreigingsactor achter de spyware het heeft ontworpen om te communiceren met andere reeds geïnstalleerde chattoepassingen. De interactie vindt plaats door het gebruik van intenties, en de OPEN_DOCUMENT_TREE-machtiging stelt de spyware in staat om specifieke mappen te selecteren en toegang te krijgen tot de apps die in de intentie worden genoemd.

Om de verzamelde gegevens van het geïnfecteerde apparaat te exfiltreren, maakt de spyware gebruik van een speciale data-exfiltratiemodule. De informatie wordt vervolgens overgebracht naar de Command-and-Control (C2)-server van de aanvaller via poort 2053. Om de vertrouwelijkheid van de geëxfiltreerde informatie tijdens de verzending te waarborgen, maakt de spyware gebruik van codering die mogelijk wordt gemaakt door een andere module die RSA, ECB en OAEPPadding ondersteunt. Bovendien gebruiken de aanvallers een "lets encrypt"-certificaat om pogingen tot onderschepping van netwerkgegevens tegen hen te omzeilen.

Verbindingen met andere cybercriminaliteitsgroepen

In de SafeChat-aanvalscampagne zijn verschillende tactieken, technieken en procedures (TTP's) geïdentificeerd, die een opvallende gelijkenis vertonen met een andere door de Indiase staat gesponsorde dreigingsgroep die bekend staat als 'DoNot APT' (APT-C-35). Met name 'DoNot APT' is eerder betrokken geweest bij het infiltreren van Google Play met valse chat-apps die werken als spyware. De overeenkomsten tussen de twee hackergroepen zijn onder meer het gebruik van dezelfde certificeringsinstantie, vergelijkbare methoden voor het stelen van gegevens, een gedeeld doelbereik en het gebruik van Android-apps om hun beoogde doelen te infecteren.

Deze waargenomen parallellen wijzen sterk op een mogelijke overlap of nauwe samenwerking tussen de twee dreigingsgroepen. Bovendien kan de gelijkenis in technieken voor het stelen van gegevens en de gedeelde focus op targeting duiden op een gemeenschappelijk doel of doel in hun aanvallen.

Het feit dat beide groepen Android-apps hebben gebruikt als infiltratiemiddel, versterkt het idee van mogelijke samenwerking of kennisdeling nog meer. Het is van cruciaal belang om deze indicaties van samenwerking serieus te nemen, aangezien ze wijzen op een potentiële toename van de verfijning en complexiteit van de aanvallen die door deze door de staat gesponsorde groepen worden gelanceerd.