Mobilne złośliwe oprogramowanie SafeChat

Wykryto hakerów wykorzystujących oszukańczą aplikację na Androida o nazwie „SafeChat” do infekowania urządzeń złośliwym oprogramowaniem szpiegującym. To złośliwe oprogramowanie ma na celu kradzież poufnych informacji z telefonów, w tym dzienników połączeń, wiadomości tekstowych i lokalizacji GPS.

Podejrzewa się, że oprogramowanie szpiegujące dla Androida jest wariantem niesławnego złośliwego oprogramowania „Coverlm”, znanego z możliwości kradzieży danych z różnych aplikacji komunikacyjnych. Wśród docelowych aplikacji znajdują się popularne platformy, takie jak Telegram, Signal, WhatsApp, Viber i Facebook Messenger.

Uważa się, że za tą kampanią stoi indyjska grupa hakerska APT znana jako „Bahamut ”. Zostali zidentyfikowani jako sprawcy odpowiedzialni za ostatnie ataki, głównie przy użyciu wiadomości typu spear phishing rozpowszechnianych za pośrednictwem WhatsApp. Wiadomości te zawierają groźby, które są dostarczane bezpośrednio do urządzeń ofiar. Głównymi celami tej kampanii Bahamuta są użytkownicy z Azji Południowej.

Złośliwe oprogramowanie SafeChat podszywa się pod legalną aplikację do przesyłania wiadomości

Powszechną taktyką stosowaną przez atakujących jest próba przekonania ofiar do zainstalowania aplikacji czatu, twierdząc, że zapewni im to bezpieczniejszą platformę komunikacyjną. Według ekspertów Infosec, oprogramowanie szpiegujące podszywające się pod Safe Chat wykorzystuje oszukańczy interfejs użytkownika, który naśladuje prawdziwą aplikację do czatowania. Ponadto przeprowadza ofiarę przez proces, który wydaje się być legalnym procesem rejestracji użytkownika, dodając wiarygodności i działając jako doskonała przykrywka dla złośliwych działań oprogramowania szpiegującego.

Kluczowym krokiem w procesie infekcji jest uzyskanie ważnych uprawnień, takich jak możliwość korzystania z usług ułatwień dostępu. Uprawnienia te są następnie niewłaściwie wykorzystywane do automatycznego przyznawania oprogramowaniu szpiegowskiemu dalszego dostępu do poufnych danych. Mówiąc dokładniej, oprogramowanie szpiegujące uzyskuje dostęp do listy kontaktów ofiary, wiadomości SMS, dzienników połączeń, pamięci urządzenia zewnętrznego i może pobierać dokładne dane lokalizacji GPS z zaatakowanego urządzenia.

Ponadto fragmenty pliku Manifest systemu Android ujawniają, że cyberprzestępca stojący za oprogramowaniem szpiegującym zaprojektował je do interakcji z innymi już zainstalowanymi aplikacjami do czatu. Interakcja odbywa się za pomocą intencji, a uprawnienie OPEN_DOCUMENT_TREE umożliwia oprogramowaniu szpiegowskiemu wybieranie określonych katalogów i uzyskiwanie dostępu do aplikacji wymienionych w intencji.

W celu eksfiltracji danych zebranych z zainfekowanego urządzenia oprogramowanie szpiegujące wykorzystuje dedykowany moduł eksfiltracji danych. Informacje są następnie przesyłane do serwera Command-and-Control (C2) atakującego przez port 2053. Aby zapewnić poufność wyekstrahowanych informacji podczas transmisji, oprogramowanie szpiegujące wykorzystuje szyfrowanie obsługiwane przez inny moduł obsługujący RSA, ECB i OAEPPadding. Ponadto osoby atakujące wykorzystują certyfikat „lets encrypt”, aby uniknąć wszelkich prób przechwycenia danych sieciowych podejmowanych przeciwko nim.

Powiązania z innymi grupami cyberprzestępczymi

W kampanii ataków SafeChat zidentyfikowano kilka taktyk, technik i procedur (TTP), które są uderzająco podobne do innej grupy zagrożeń sponsorowanej przez państwo indyjskie, znanej jako „DoNot APT” (APT-C-35). Warto zauważyć, że „DoNot APT” było wcześniej zaangażowane w infiltrację Google Play za pomocą fałszywych aplikacji do czatowania, które działają jako oprogramowanie szpiegujące. Podobieństwa między tymi dwiema grupami hakerów obejmują korzystanie z tego samego urzędu certyfikacji, podobne metodologie kradzieży danych, wspólny zakres ataków oraz wykorzystywanie aplikacji na Androida do infekowania zamierzonych celów.

Te zaobserwowane podobieństwa zdecydowanie sugerują potencjalne nakładanie się lub bliską współpracę między tymi dwiema grupami zagrożeń. Ponadto podobieństwo technik kradzieży danych i wspólny cel mogą wskazywać na wspólny cel ich ataków.

Fakt, że obie grupy wykorzystywały aplikacje na Androida jako środek infiltracji, dodatkowo wzmacnia koncepcję możliwej współpracy lub dzielenia się wiedzą. Bardzo ważne jest, aby poważnie potraktować te oznaki współpracy, ponieważ oznaczają one potencjalny wzrost wyrafinowania i złożoności ataków przeprowadzanych przez te grupy sponsorowane przez państwo.