SafeChat Mobile Malware

Hackers foram descobertos empregando um aplicativo Android enganoso chamado 'SafeChat' para infectar dispositivos com malware spyware. Este software malicioso visa roubar informações confidenciais de telefones, incluindo registros de chamadas, mensagens de texto e localizações de GPS.

Suspeita-se que esse spyware do Android seja uma variante do infame malware 'Coverlm', conhecido por seus recursos de roubo de dados de vários aplicativos de comunicação. Os aplicativos direcionados incluem plataformas populares como Telegram, Signal, WhatsApp, Viber e Facebook Messenger.

Acredita-se que o grupo de hackers indiano APT conhecido como 'Bahamut' esteja por trás dessa campanha. Eles foram identificados como os perpetradores responsáveis pelos ataques recentes, principalmente usando mensagens de spear phishing distribuídas pelo WhatsApp. Essas mensagens carregam cargas ameaçadoras, que são entregues diretamente nos dispositivos das vítimas. Os principais alvos desta campanha Bahamut são usuários localizados no sul da Ásia.

O SafeChat Malware Se Disfarça como um Aplicativo de Mensagens Legítimo

Uma tática comum usada pelos invasores é tentar persuadir as vítimas a instalar um aplicativo de bate-papo, alegando que isso fornecerá uma plataforma de comunicação mais segura. De acordo com especialistas em infosec, o spyware disfarçado de Safe Chat emprega uma interface de usuário enganosa que imita um aplicativo de bate-papo genuíno. Além disso, ele orienta a vítima através do que parece ser um processo de registro de usuário legítimo, adicionando credibilidade e agindo como um disfarce perfeito para as atividades maliciosas do spyware.

Uma etapa crucial no processo de infecção envolve a obtenção de permissões importantes, como a capacidade de usar os Serviços de Acessibilidade. Essas permissões são usadas indevidamente para conceder ao spyware mais acesso a dados confidenciais automaticamente. Mais especificamente, o spyware obtém acesso à lista de contatos da vítima, mensagens SMS, registros de chamadas, armazenamento de dispositivo externo e pode recuperar dados de localização GPS precisos do dispositivo comprometido.

Além disso, trechos do arquivo Android Manifest revelam que o agente da ameaça por trás do spyware o projetou para interagir com outros aplicativos de bate-papo já instalados. A interação ocorre por meio do uso de intents, e a permissão OPEN_DOCUMENT_TREE permite que o spyware selecione diretórios específicos e acesse os aplicativos mencionados no intent.

Para exfiltrar os dados coletados do dispositivo infectado, o spyware emprega um módulo de exfiltração de dados dedicado. As informações são então transferidas para o servidor Command-and-Control (C2) do invasor pela porta 2053. Para garantir a confidencialidade das informações extraídas durante a transmissão, o spyware utiliza criptografia facilitada por outro módulo que suporta RSA, ECB e OAEPPadding. Além disso, os invasores empregam um certificado "vamos criptografar" para evitar qualquer tentativa de interceptação de dados de rede feita contra eles.

Conexões com Outros Grupos de Crimes Cibernéticos

Na campanha de ataque do SafeChat, foram identificadas várias táticas, técnicas e procedimentos (TTPs), que apresentam uma notável semelhança com outro grupo de ameaças patrocinado pelo estado indiano conhecido como 'DoNot APT' (APT-C-35). Notavelmente, 'DoNot APT' já esteve envolvido na infiltração do Google Play com aplicativos de bate-papo falsos que funcionam como spyware. As semelhanças entre os dois grupos de hackers incluem o uso da mesma autoridade de certificação, metodologias de roubo de dados semelhantes, um escopo de segmentação compartilhado e a utilização de aplicativos Android para infectar seus alvos pretendidos.

Esses paralelos observados sugerem fortemente uma possível sobreposição ou estreita colaboração entre os dois grupos de ameaças. Além disso, a semelhança nas técnicas de roubo de dados e o foco compartilhado no direcionamento podem indicar um objetivo ou propósito comum em seus ataques.

O fato de ambos os grupos terem empregado aplicativos Android como meio de infiltração fortalece ainda mais a noção de possível colaboração ou compartilhamento de conhecimento. É crucial levar a sério essas indicações de colaboração, pois elas significam um aumento potencial na sofisticação e complexidade dos ataques lançados por esses grupos patrocinados pelo Estado.