SafeChat Mobile Malware

Hackare har upptäckts använda en vilseledande Android-applikation som heter "SafeChat" för att infektera enheter med spionprogram. Denna skadliga programvara syftar till att stjäla känslig information från telefoner, inklusive samtalsloggar, textmeddelanden och GPS-platser.

Android-spionprogrammet misstänks vara en variant av den ökända "Coverlm" skadlig programvara, känd för sina datastjälningsmöjligheter från olika kommunikationsappar. De riktade applikationerna inkluderar populära plattformar som Telegram, Signal, WhatsApp, Viber och Facebook Messenger.

Den indiska APT-hackargruppen känd som "Bahamut " tros ligga bakom denna kampanj. De har identifierats som förövarna som är ansvariga för de senaste attackerna, främst med hjälp av spjutnätfiskemeddelanden som distribuerats via WhatsApp. Dessa meddelanden bär hotfulla nyttolaster, som levereras direkt till offrens enheter. De primära målen för denna Bahamut-kampanj är användare i södra Asien.

SafeChat Malware maskerar sig som en legitim meddelandeapplikation

En vanlig taktik som används av angripare är att försöka övertala offren att installera en chattapplikation och påstå att det kommer att ge dem en säkrare kommunikationsplattform. Enligt infosec-experter använder spionprogrammet förklädd som Safe Chat ett vilseledande användargränssnitt som efterliknar en äkta chattapp. Dessutom guidar den offret genom vad som verkar vara en legitim användarregistreringsprocess, ger trovärdighet och fungerar som en perfekt täckmantel för spionprogrammets skadliga aktiviteter.

Ett avgörande steg i infektionsprocessen innebär att erhålla viktiga behörigheter, såsom möjligheten att använda tillgänglighetstjänster. Dessa behörigheter missbrukas sedan för att ge spionprogrammet ytterligare åtkomst till känsliga data automatiskt. Mer specifikt får spionprogrammet tillgång till offrets kontaktlista, SMS-meddelanden, samtalsloggar, extern enhetslagring och kan hämta exakta GPS-platsdata från den komprometterade enheten.

Dessutom avslöjar utdrag från Android Manifest-filen att hotaktören bakom spionprogrammet utformade den för att interagera med andra redan installerade chattapplikationer. Interaktionen sker genom användning av avsikter, och OPEN_DOCUMENT_TREE-tillståndet tillåter spionprogrammet att välja specifika kataloger och komma åt apparna som nämns i avsikten.

För att exfiltrera data som samlats in från den infekterade enheten använder spionprogrammet en dedikerad dataexfiltreringsmodul. Informationen överförs sedan till angriparens Command-and-Control-server (C2) via port 2053. För att säkerställa konfidentialitet för den exfiltrerade informationen under överföringen använder spionprogrammet kryptering som underlättas av en annan modul som stöder RSA, ECB och OAEPPadding. Dessutom använder angriparna ett "låts kryptera"-certifikat för att undvika alla avlyssningsförsök av nätverksdata som görs mot dem.

Anslutningar till andra IT-brottsgrupper

I SafeChat-attackkampanjen har flera taktiker, tekniker och förfaranden (TTP) identifierats, som har en slående likhet med en annan indisk statssponsrad hotgrupp känd som 'DoNot APT' (APT-C-35). Noterbart är att 'DoNot APT' tidigare varit inblandad i att infiltrera Google Play med falska chattappar som fungerar som spionprogram. Likheterna mellan de två hackergrupperna inkluderar användningen av samma certifikatutfärdare, liknande metoder för datastöld, ett delat inriktningsomfång och användningen av Android-appar för att infektera sina avsedda mål.

Dessa observerade paralleller tyder starkt på en potentiell överlappning eller nära samarbete mellan de två hotgrupperna. Dessutom kan likheten i tekniker för datastöld och det delade inriktningsfokuset indikera ett gemensamt mål eller syfte med deras attacker.

Det faktum att båda grupperna har använt Android-appar som ett medel för infiltration stärker ytterligare föreställningen om möjligt samarbete eller kunskapsdelning. Det är avgörande att ta dessa indikationer på samarbete på allvar eftersom de innebär en potentiell ökning av sofistikeringen och komplexiteten i de attacker som lanserats av dessa statligt sponsrade grupper.