SafeChat Mobile Malware
Boli objavení hackeri, ktorí využívajú klamlivú aplikáciu pre Android s názvom „SafeChat“ na infikovanie zariadení spywarovým škodlivým softvérom. Cieľom tohto škodlivého softvéru je ukradnúť citlivé informácie z telefónov vrátane záznamov hovorov, textových správ a polohy GPS.
Existuje podozrenie, že spyware pre Android je variantom neslávne známeho malvéru „Coverlm“, ktorý je známy svojimi schopnosťami kradnúť údaje z rôznych komunikačných aplikácií. Cielené aplikácie zahŕňajú populárne platformy ako Telegram, Signal, WhatsApp, Viber a Facebook Messenger.
Predpokladá sa, že za touto kampaňou stojí indická hackerská skupina APT známa ako 'Bahamut '. Boli identifikovaní ako páchatelia zodpovední za nedávne útoky, predovšetkým pomocou spear phishingových správ distribuovaných cez WhatsApp. Tieto správy nesú hrozivé užitočné zaťaženia, ktoré sa doručujú priamo do zariadení obetí. Primárnymi cieľmi tejto kampane Bahamut sú používatelia nachádzajúci sa v južnej Ázii.
Malware SafeChat sa maskuje ako legitímna aplikácia na odosielanie správ
Bežnou taktikou útočníkov je pokúsiť sa presvedčiť obete, aby si nainštalovali chatovaciu aplikáciu, pričom tvrdia, že im to poskytne bezpečnejšiu komunikačnú platformu. Podľa odborníkov z Infosec využíva spyware maskovaný ako Safe Chat klamlivé používateľské rozhranie, ktoré napodobňuje skutočnú chatovaciu aplikáciu. Okrem toho prevedie obeť procesom, ktorý sa javí ako legitímny proces registrácie používateľa, dodáva dôveryhodnosť a slúži ako dokonalé krytie škodlivých aktivít spywaru.
Rozhodujúcim krokom v procese infekcie je získanie dôležitých povolení, ako je napríklad možnosť používať služby dostupnosti. Tieto povolenia sa potom zneužijú na automatické udelenie ďalšieho prístupu spywaru k citlivým údajom. Presnejšie povedané, spyware získa prístup k zoznamu kontaktov obete, SMS správam, záznamom hovorov, externému úložisku zariadenia a môže získať presné údaje o polohe GPS z napadnutého zariadenia.
Okrem toho úryvky zo súboru Android Manifest odhaľujú, že aktér hrozby za spywarom ho navrhol na interakciu s inými už nainštalovanými chatovacími aplikáciami. K interakcii dochádza prostredníctvom použitia zámerov a povolenie OPEN_DOCUMENT_TREE umožňuje spywaru vybrať konkrétne adresáre a pristupovať k aplikáciám uvedeným v zámere.
Na exfiltráciu údajov zhromaždených z infikovaného zariadenia používa spyware špeciálny modul na exfiltráciu údajov. Informácie sa potom prenesú na útočníkov server Command-and-Control (C2) cez port 2053. Aby sa zabezpečila dôvernosť získaných informácií počas prenosu, spyware využíva šifrovanie uľahčené ďalším modulom, ktorý podporuje RSA, ECB a OAEPPadding. Okrem toho útočníci používajú certifikát „lets encrypt“, aby sa vyhli akýmkoľvek pokusom o zachytenie sieťových údajov proti nim.
Prepojenie s inými skupinami počítačovej kriminality
V útočnej kampani SafeChat bolo identifikovaných niekoľko taktík, techník a postupov (TTP), ktoré sa nápadne podobajú na inú skupinu hrozieb podporovanú indickým štátom, známu ako „DoNot APT“ (APT-C-35). Je pozoruhodné, že „DoNot APT“ sa už predtým podieľal na infiltrácii Google Play pomocou falošných chatovacích aplikácií, ktoré fungujú ako spyware. Medzi podobnosti medzi týmito dvoma skupinami hackerov patrí použitie rovnakej certifikačnej autority, podobné metodológie krádeže údajov, zdieľaný rozsah zacielenia a využitie aplikácií pre Android na infikovanie ich zamýšľaných cieľov.
Tieto pozorované paralely silne naznačujú potenciálne prekrývanie alebo úzku spoluprácu medzi týmito dvoma skupinami hrozieb. Okrem toho podobnosť v technikách krádeže údajov a spoločné zameranie zamerania môže naznačovať spoločný cieľ alebo účel ich útokov.
Skutočnosť, že obe skupiny použili aplikácie pre Android ako prostriedok infiltrácie, ďalej posilňuje predstavu o možnej spolupráci alebo zdieľaní znalostí. Je veľmi dôležité brať tieto náznaky spolupráce vážne, pretože znamenajú potenciálne zvýšenie prepracovanosti a komplexnosti útokov spustených týmito štátom podporovanými skupinami.
