Mobilna zlonamerna programska oprema SafeChat

Odkrili so hekerje, ki uporabljajo zavajajočo aplikacijo za Android, imenovano 'SafeChat', da okužijo naprave z zlonamerno vohunsko programsko opremo. Namen te zlonamerne programske opreme je krasti občutljive podatke iz telefonov, vključno z dnevniki klicev, besedilnimi sporočili in lokacijami GPS.

Sumi se, da je vohunska programska oprema Android različica zloglasne zlonamerne programske opreme "Coverlm", ki je znana po svojih zmožnostih kraje podatkov iz različnih komunikacijskih aplikacij. Ciljne aplikacije vključujejo priljubljene platforme, kot so Telegram, Signal, WhatsApp, Viber in Facebook Messenger.

Za to kampanjo naj bi stala indijska hekerska skupina APT, znana kot 'Bahamut '. Ugotovljeni so bili kot storilci, odgovorni za nedavne napade, predvsem z uporabo lažnih sporočil, ki so bila poslana prek WhatsAppa. Ta sporočila vsebujejo grožnje, ki so neposredno dostavljene v naprave žrtev. Glavni cilji te kampanje Bahamut so uporabniki v Južni Aziji.

Zlonamerna programska oprema SafeChat se predstavlja kot legitimna aplikacija za sporočanje

Običajna taktika, ki jo uporabljajo napadalci, je poskušanje prepričati žrtve v namestitev aplikacije za klepet, češ da jim bo zagotovila varnejšo komunikacijsko platformo. Po mnenju strokovnjakov za infosec vohunska programska oprema, prikrita kot Safe Chat, uporablja zavajajoč uporabniški vmesnik, ki posnema pravo aplikacijo za klepet. Poleg tega vodi žrtev skozi, kar se zdi zakonit postopek registracije uporabnika, dodaja verodostojnost in deluje kot popolno kritje za zlonamerne dejavnosti vohunske programske opreme.

Pomemben korak v procesu okužbe vključuje pridobitev pomembnih dovoljenj, kot je možnost uporabe storitev dostopnosti. Ta dovoljenja se nato zlorabijo, da se vohunski programski opremi samodejno omogoči nadaljnji dostop do občutljivih podatkov. Natančneje, vohunska programska oprema pridobi dostop do seznama stikov žrtve, sporočil SMS, dnevnikov klicev, zunanjega pomnilnika naprave in lahko iz ogrožene naprave pridobi natančne podatke o lokaciji GPS.

Poleg tega izrezki iz datoteke manifesta za Android razkrivajo, da je akter grožnje, ki stoji za vohunsko programsko opremo, to zasnoval za interakcijo z drugimi že nameščenimi aplikacijami za klepet. Interakcija poteka z uporabo namenov in dovoljenje OPEN_DOCUMENT_TREE omogoča vohunski programski opremi, da izbere določene imenike in dostopa do aplikacij, omenjenih v namenu.

Za izločanje podatkov, zbranih iz okužene naprave, vohunska programska oprema uporablja namenski modul za izločanje podatkov. Informacije se nato prenesejo na napadalčev strežnik za ukazovanje in nadzor (C2) prek vrat 2053. Za zagotovitev zaupnosti eksfiltriranih informacij med prenosom vohunska programska oprema uporablja šifriranje, ki ga omogoča drug modul, ki podpira RSA, ECB in OAEPPadding. Poleg tega napadalci uporabljajo potrdilo "lets encrypt", da se izognejo kakršnim koli poskusom prestrezanja omrežnih podatkov proti njim.

Povezave z drugimi skupinami kibernetskega kriminala

V napadalni kampanji SafeChat je bilo ugotovljenih več taktik, tehnik in postopkov (TTP), ki so presenetljivo podobni drugi skupini groženj, ki jo sponzorira indijska država, znani kot 'Ne APT' (APT-C-35). Zlasti 'DoNot APT' je bil prej vpleten v infiltracijo v Google Play z lažnimi aplikacijami za klepet, ki delujejo kot vohunska programska oprema. Podobnosti med obema hekerskima skupinama vključujejo uporabo istega overitelja potrdil, podobne metodologije kraje podatkov, skupni ciljni obseg in uporabo aplikacij za Android za okužbo svojih ciljev.

Te opazovane vzporednice močno kažejo na morebitno prekrivanje ali tesno sodelovanje med obema skupinama groženj. Poleg tega lahko podobnost v tehnikah kraje podatkov in skupni ciljni fokus nakazujeta skupni cilj ali namen njihovih napadov.

Dejstvo, da sta obe skupini uporabili aplikacije za Android kot sredstvo za infiltracijo, dodatno krepi predstavo o možnem sodelovanju ali izmenjavi znanja. Ključnega pomena je, da te znake sodelovanja jemljemo resno, saj pomenijo potencialno povečanje prefinjenosti in kompleksnosti napadov, ki jih izvajajo te skupine, ki jih sponzorira država.