Programe malware SafeChat Mobile

Au fost descoperiți hackeri care folosesc o aplicație Android înșelătoare numită „SafeChat” pentru a infecta dispozitivele cu programe malware spyware. Acest software rău intenționat are ca scop să fure informații sensibile de pe telefoane, inclusiv jurnalele de apeluri, mesaje text și locații GPS.

Programul spion Android este suspectat a fi o variantă a infamului malware „Coverlm”, cunoscut pentru capabilitățile sale de furt de date din diferite aplicații de comunicare. Aplicațiile vizate includ platforme populare precum Telegram, Signal, WhatsApp, Viber și Facebook Messenger.

Se crede că în spatele acestei campanii se află grupul indian de hacking APT cunoscut sub numele de „Bahamut ”. Aceștia au fost identificați drept autorii responsabili pentru recentele atacuri, folosind în principal mesaje de tip spear phishing distribuite prin WhatsApp. Aceste mesaje poartă încărcături utile amenințătoare, care sunt livrate direct pe dispozitivele victimelor. Țintele principale ale acestei campanii Bahamut sunt utilizatorii aflați în Asia de Sud.

Programul malware SafeChat se mascadă ca o aplicație de mesagerie legitimă

O tactică comună folosită de atacatori este aceea de a încerca să convingă victimele să instaleze o aplicație de chat, susținând că le va oferi o platformă de comunicare mai sigură. Potrivit experților Infosec, programul spyware deghizat în Safe Chat folosește o interfață de utilizator înșelătoare care imită o aplicație de chat autentică. În plus, ghidează victima prin ceea ce pare a fi un proces legitim de înregistrare a utilizatorului, adăugând credibilitate și acționând ca o acoperire perfectă pentru activitățile rău intenționate ale programului spyware.

Un pas crucial în procesul de infecție implică obținerea de permisiuni importante, cum ar fi capacitatea de a utiliza Serviciile de accesibilitate. Aceste permisiuni sunt apoi folosite greșit pentru a acorda programului spyware acces suplimentar la date sensibile automat. Mai precis, programul spyware obține acces la lista de contacte a victimei, mesajele SMS, jurnalele de apeluri, stocarea dispozitivului extern și poate prelua date precise de locație GPS de pe dispozitivul compromis.

În plus, fragmente din fișierul Android Manifest dezvăluie că actorul amenințării din spatele programului spyware l-a proiectat pentru a interacționa cu alte aplicații de chat deja instalate. Interacțiunea are loc prin utilizarea intențiilor, iar permisiunea OPEN_DOCUMENT_TREE permite programului spyware să selecteze anumite directoare și să acceseze aplicațiile menționate în intenție.

Pentru a exfiltra datele colectate de pe dispozitivul infectat, programul spyware folosește un modul dedicat de exfiltrare a datelor. Informațiile sunt apoi transferate către serverul Command-and-Control (C2) al atacatorului prin portul 2053. Pentru a asigura confidențialitatea informațiilor exfiltrate în timpul transmiterii, programul spyware utilizează criptarea facilitată de un alt modul care acceptă RSA, ECB și OAEPPadding. Mai mult, atacatorii folosesc un certificat „lasă criptarea” pentru a evita orice tentative de interceptare a datelor din rețea făcute împotriva lor.

Conexiuni cu alte grupuri de criminalitate cibernetică

În campania de atac SafeChat, au fost identificate mai multe tactici, tehnici și proceduri (TTP), care se aseamănă izbitor cu un alt grup de amenințări sponsorizat de stat indian, cunoscut sub numele de „DoNot APT” (APT-C-35). În special, „DoNot APT” a fost implicat anterior în infiltrarea Google Play cu aplicații de chat false care funcționează ca programe spion. Asemănările dintre cele două grupuri de hackeri includ utilizarea aceleiași autorități de certificare, metodologii similare de furt de date, un domeniu de direcționare partajat și utilizarea aplicațiilor Android pentru a infecta țintele vizate.

Aceste paralele observate sugerează cu tărie o potențială suprapunere sau o colaborare strânsă între cele două grupuri de amenințări. În plus, asemănarea tehnicilor de furt de date și focalizarea comună asupra direcționării poate indica un scop sau un scop comun în atacurile lor.

Faptul că ambele grupuri au folosit aplicații Android ca mijloc de infiltrare întărește și mai mult noțiunea de posibilă colaborare sau partajare a cunoștințelor. Este esențial să luăm în serios aceste indicii de colaborare, deoarece ele semnifică o potențială creștere a sofisticarii și complexității atacurilor lansate de aceste grupuri sponsorizate de stat.