SafeChat мобилни малвер
Хакери су откривени како користе варљиву Андроид апликацију под називом „СафеЦхат“ да заразе уређаје шпијунским малвером. Овај злонамерни софтвер има за циљ да краде осетљиве информације са телефона, укључујући евиденцију позива, текстуалне поруке и ГПС локације.
Сумња се да је Андроид шпијунски софтвер варијанта злогласног 'Цоверлм' малвера, познатог по својим могућностима крађе података из различитих комуникационих апликација. Циљане апликације укључују популарне платформе као што су Телеграм, Сигнал, ВхатсАпп, Вибер и Фацебоок Мессенгер.
Вјерује се да иза ове кампање стоји индијска хакерска група АПТ позната као 'Бахамут '. Они су идентификовани као починиоци одговорни за недавне нападе, првенствено користећи спеар пхисхинг поруке дистрибуиране путем ВхатсАпп-а. Ове поруке носе претећи садржај, који се директно испоручује на уређаје жртава. Примарни циљеви ове Бахамут кампање су корисници који се налазе у Јужној Азији.
SafeChat злонамерни софтвер маскира као легитимну апликацију за размену порука
Уобичајена тактика коју користе нападачи је да покушају да убеде жртве да инсталирају апликацију за ћаскање, тврдећи да ће им то обезбедити сигурнију платформу за комуникацију. Према експертима Инфосец-а, шпијунски софтвер прерушен у безбедно ћаскање користи обмањујући кориснички интерфејс који опонаша праву апликацију за ћаскање. Штавише, он води жртву кроз оно што се чини као легитиман процес регистрације корисника, додајући кредибилитет и делујући као савршено покриће за злонамерне активности шпијунског софтвера.
Кључни корак у процесу заразе укључује добијање важних дозвола, као што је могућност коришћења услуга приступачности. Ове дозволе се затим злоупотребљавају да би се шпијунском софтверу аутоматски омогућио даљи приступ осетљивим подацима. Тачније, шпијунски софтвер добија приступ листи контаката жртве, СМС порукама, евиденцијама позива, складиштењу на спољном уређају и може да преузме прецизне ГПС податке о локацији са компромитованог уређаја.
Поред тога, исечци из датотеке Андроид манифест откривају да је актер претње иза шпијунског софтвера дизајнирао да комуницира са другим већ инсталираним апликацијама за ћаскање. Интеракција се дешава коришћењем намера, а дозвола ОПЕН_ДОЦУМЕНТ_ТРЕЕ омогућава шпијунском софтверу да изабере одређене директоријуме и приступи апликацијама поменутим у намери.
Да би ексфилтрирао податке прикупљене са зараженог уређаја, шпијунски софтвер користи наменски модул за ексфилтрацију података. Информације се затим преносе на сервер за команду и контролу (Ц2) нападача преко порта 2053. Да би се обезбедила поверљивост ексфилтрираних информација током преноса, шпијунски софтвер користи енкрипцију коју омогућава други модул који подржава РСА, ЕЦБ и ОАЕППаддинг. Штавише, нападачи користе сертификат „летс енцрипт” да би избегли било какве покушаје пресретања мрежних података који су направљени против њих.
Везе са другим групама сајбер криминала
У кампањи напада СафеЦхат-а идентификовано је неколико тактика, техника и процедура (ТТП), које запањујуће личе на другу групу претњи коју спонзорише индијска држава позната као „Немој АПТ“ (АПТ-Ц-35). Посебно, „ДоНот АПТ“ је раније био укључен у инфилтрирање на Гоогле Плаи са лажним апликацијама за ћаскање које функционишу као шпијунски софтвер. Сличности између ове две групе хакера укључују употребу истог ауторитета за сертификацију, сличне методологије за крађу података, заједнички опсег циљања и коришћење Андроид апликација за заразу својих предвиђених циљева.
Ове уочене паралеле снажно указују на потенцијално преклапање или блиску сарадњу између две претње групе. Поред тога, сличност у техникама крађе података и заједнички фокус циљања могу указивати на заједнички циљ или сврху у њиховим нападима.
Чињеница да су обе групе користиле Андроид апликације као средство инфилтрације додатно јача идеју могуће сарадње или дељења знања. Од кључне је важности да се ове назнаке сарадње схвате озбиљно јер оне означавају потенцијално повећање софистицираности и сложености напада које су покренуле ове групе које спонзорише држава.
