Мобильное вредоносное ПО SafeChat

Было обнаружено, что хакеры используют вводящее в заблуждение приложение для Android под названием «SafeChat» для заражения устройств шпионским вредоносным ПО. Это вредоносное программное обеспечение нацелено на кражу конфиденциальной информации с телефонов, включая журналы вызовов, текстовые сообщения и местоположения GPS.

Предполагается, что шпионское ПО для Android является разновидностью печально известного вредоносного ПО Coverlm, известного своими возможностями кражи данных из различных коммуникационных приложений. Целевые приложения включают популярные платформы, такие как Telegram, Signal, WhatsApp, Viber и Facebook Messenger.

Считается, что за этой кампанией стоит индийская группа хакеров APT, известная как «Bahamut ». Они были идентифицированы как виновные в недавних атаках, в основном с использованием целевых фишинговых сообщений, распространяемых через WhatsApp. Эти сообщения содержат опасные полезные данные, которые напрямую доставляются на устройства жертв. Основными целями этой кампании Bahamut являются пользователи из Южной Азии.

Вредоносное ПО SafeChat маскируется под законное приложение для обмена сообщениями

Обычная тактика, используемая злоумышленниками, заключается в том, чтобы попытаться убедить жертв установить приложение для чата, утверждая, что оно предоставит им более безопасную платформу для общения. По мнению экспертов информационной безопасности, шпионское ПО, замаскированное под Safe Chat, использует вводящий в заблуждение пользовательский интерфейс, имитирующий настоящее приложение для чата. Кроме того, он проводит жертву через то, что кажется законным процессом регистрации пользователя, повышая доверие и действуя как идеальное прикрытие для злонамеренных действий шпионского ПО.

Важным шагом в процессе заражения является получение важных разрешений, таких как возможность использования специальных возможностей. Затем эти разрешения используются не по назначению для автоматического предоставления шпионскому ПО дальнейшего доступа к конфиденциальным данным. В частности, шпионское ПО получает доступ к списку контактов жертвы, SMS-сообщениям, журналам вызовов, внешнему хранилищу устройства и может получить точные данные о местоположении GPS со взломанного устройства.

Кроме того, фрагменты из файла манифеста Android показывают, что злоумышленник, стоящий за шпионским ПО, разработал его для взаимодействия с другими уже установленными приложениями чата. Взаимодействие происходит с помощью намерений, а разрешение OPEN_DOCUMENT_TREE позволяет шпионскому ПО выбирать определенные каталоги и получать доступ к приложениям, упомянутым в намерениях.

Для эксфильтрации данных, собранных с зараженного устройства, шпионское ПО использует специальный модуль эксфильтрации данных. Затем информация передается на сервер управления и контроля (C2) злоумышленника через порт 2053. Для обеспечения конфиденциальности полученной информации во время передачи шпионское ПО использует шифрование, обеспечиваемое другим модулем, который поддерживает RSA, ECB и OAEPPadding. Кроме того, злоумышленники используют сертификат «позволяет зашифровать», чтобы избежать любых попыток перехвата сетевых данных против них.

Связи с другими группами киберпреступников

В ходе атаки на SafeChat было выявлено несколько тактик, методов и процедур (TTP), которые имеют поразительное сходство с другой группой угроз, спонсируемой индийским государством, известной как «DoNot APT» (APT-C-35). Примечательно, что «DoNot APT» ранее участвовал в проникновении в Google Play поддельных чат-приложений, которые функционируют как шпионское ПО. Сходства между двумя хакерскими группами включают использование одного и того же центра сертификации, схожие методологии кражи данных, общую область действия и использование приложений Android для заражения намеченных целей.

Эти наблюдаемые параллели убедительно свидетельствуют о потенциальном совпадении или тесном сотрудничестве между двумя группами угроз. Кроме того, сходство в методах кражи данных и общий фокус могут указывать на общую цель или цель их атак.

Тот факт, что обе группы использовали приложения для Android в качестве средства проникновения, еще больше укрепляет идею возможного сотрудничества или обмена знаниями. Крайне важно серьезно отнестись к этим признакам сотрудничества, поскольку они означают потенциальное увеличение изощренности и сложности атак, проводимых этими спонсируемыми государством группами.