Malware SafeChat Mobile

Hakerët janë zbuluar duke përdorur një aplikacion mashtrues Android të quajtur 'SafeChat' për të infektuar pajisjet me malware spyware. Ky softuer me qëllim të keq synon të grabisë informacione të ndjeshme nga telefonat, duke përfshirë regjistrat e thirrjeve, mesazhet me tekst dhe vendndodhjet GPS.

Spyware Android dyshohet të jetë një variant i malware famëkeq 'Coverlm', i njohur për aftësitë e tij për vjedhjen e të dhënave nga aplikacione të ndryshme komunikimi. Aplikacionet e synuara përfshijnë platforma të njohura si Telegram, Signal, WhatsApp, Viber dhe Facebook Messenger.

Grupi indian i hakerëve APT i njohur si 'Bahamut ' besohet të jetë prapa kësaj fushate. Ata janë identifikuar si autorët përgjegjës për sulmet e fundit, kryesisht duke përdorur mesazhe spear phishing të shpërndara përmes WhatsApp. Këto mesazhe përmbajnë ngarkesa kërcënuese, të cilat dërgohen drejtpërdrejt në pajisjet e viktimave. Objektivat kryesore të kësaj fushate Bahamut janë përdoruesit e vendosur në Azinë Jugore.

Malware SafeChat maskohet si një aplikacion legjitim i mesazheve

Një taktikë e zakonshme e përdorur nga sulmuesit është të përpiqen dhe të bindin viktimat që të instalojnë një aplikacion chat, duke pretenduar se do t'u sigurojë atyre një platformë komunikimi më të sigurt. Sipas ekspertëve të infosec, spyware i maskuar si Safe Chat përdor një ndërfaqe përdoruesi mashtruese që imiton një aplikacion të vërtetë bisede. Për më tepër, ai e drejton viktimën përmes atij që duket të jetë një proces legjitim regjistrimi i përdoruesit, duke shtuar besueshmëri dhe duke vepruar si një mbulesë e përsosur për aktivitetet e dëmshme të spyware-it.

Një hap vendimtar në procesin e infeksionit përfshin marrjen e lejeve të rëndësishme, të tilla si aftësia për të përdorur Shërbimet e Aksesueshmërisë. Këto leje më pas keqpërdoren për t'i dhënë spyware-it akses të mëtejshëm në të dhënat e ndjeshme automatikisht. Më konkretisht, spyware fiton akses në listën e kontakteve të viktimës, mesazhet SMS, regjistrat e thirrjeve, ruajtjen e pajisjes së jashtme dhe mund të marrë të dhëna të sakta të vendndodhjes GPS nga pajisja e komprometuar.

Për më tepër, fragmente nga skedari Android Manifest zbulojnë se aktori i kërcënimit që qëndron pas spyware-it e ka projektuar atë për të ndërvepruar me aplikacione të tjera bisedash të instaluara tashmë. Ndërveprimi ndodh nëpërmjet përdorimit të qëllimeve dhe leja OPEN_DOCUMENT_TREE i lejon softuerit të spiunazhit të zgjedhë direktori të veçanta dhe të aksesojë aplikacionet e përmendura në qëllim.

Për të nxjerrë jashtë të dhënat e mbledhura nga pajisja e infektuar, spyware përdor një modul të dedikuar të ekfiltrimit të të dhënave. Informacioni më pas transferohet në serverin Command-and-Control (C2) të sulmuesit përmes portit 2053. Për të siguruar konfidencialitetin e informacionit të ekfiltruar gjatë transmetimit, spyware përdor enkriptimin e lehtësuar nga një modul tjetër që mbështet RSA, ECB dhe OAEPPadding. Për më tepër, sulmuesit përdorin një certifikatë "les encrypt" për të shmangur çdo përpjekje për përgjim të të dhënave të rrjetit të bëra kundër tyre.

Lidhjet me grupe të tjera të krimit kibernetik

Në fushatën e sulmit SafeChat, janë identifikuar disa Taktika, Teknika dhe Procedura (TTP), të cilat kanë një ngjashmëri të jashtëzakonshme me një grup tjetër kërcënimi të sponsorizuar nga shteti indian i njohur si 'DoNot APT' (APT-C-35). Veçanërisht, 'DoNot APT' ka qenë i përfshirë më parë në infiltrimin e Google Play me aplikacione të rreme të bisedës që funksionojnë si spyware. Ngjashmëritë midis dy grupeve të hakerëve përfshijnë përdorimin e të njëjtit autoritet të certifikatës, metodologji të ngjashme të vjedhjes së të dhënave, një qëllim të përbashkët të synimeve dhe përdorimin e aplikacioneve Android për të infektuar objektivat e tyre të synuar.

Këto paralele të vëzhguara sugjerojnë fuqimisht një mbivendosje të mundshme ose bashkëpunim të ngushtë midis dy grupeve të kërcënimit. Për më tepër, ngjashmëria në teknikat e vjedhjes së të dhënave dhe fokusi i përbashkët i synimit mund të tregojë një qëllim ose qëllim të përbashkët në sulmet e tyre.

Fakti që të dy grupet kanë përdorur aplikacione Android si një mjet depërtimi forcon më tej nocionin e bashkëpunimit të mundshëm ose ndarjes së njohurive. Është thelbësore që këto indikacione të bashkëpunimit të merren seriozisht pasi ato nënkuptojnë një rritje të mundshme në sofistikimin dhe kompleksitetin e sulmeve të nisura nga këto grupe të sponsorizuara nga shteti.