SafeChat มัลแวร์มือถือ

แฮ็กเกอร์ถูกค้นพบว่าใช้แอปพลิเคชัน Android หลอกลวงชื่อ 'SafeChat' เพื่อแพร่ระบาดในอุปกรณ์ด้วยมัลแวร์สปายแวร์ ซอฟต์แวร์ที่เป็นอันตรายนี้มีจุดประสงค์เพื่อขโมยข้อมูลที่ละเอียดอ่อนจากโทรศัพท์ รวมถึงบันทึกการโทร ข้อความ และตำแหน่ง GPS

สปายแวร์ Android ถูกสงสัยว่าเป็นรูปแบบอื่นของมัลแวร์ 'Coverlm' ที่มีชื่อเสียง ซึ่งเป็นที่รู้จักจากความสามารถในการขโมยข้อมูลจากแอปสื่อสารต่างๆ แอปพลิเคชันที่เป็นเป้าหมายรวมถึงแพลตฟอร์มยอดนิยม เช่น Telegram, Signal, WhatsApp, Viber และ Facebook Messenger

เชื่อว่ากลุ่มแฮ็ค APT ของอินเดียที่รู้จักกันในชื่อ 'Bahamut ' อยู่เบื้องหลังแคมเปญนี้ พวกเขาถูกระบุว่าเป็นผู้กระทำความผิดที่รับผิดชอบต่อการโจมตีครั้งล่าสุด โดยใช้ข้อความฟิชชิ่งแบบสเปียร์ที่เผยแพร่ผ่าน WhatsApp เป็นหลัก ข้อความเหล่านี้มีเพย์โหลดที่คุกคามซึ่งส่งตรงไปยังอุปกรณ์ของเหยื่อ เป้าหมายหลักของแคมเปญ Bahamut นี้คือผู้ใช้ในเอเชียใต้

มัลแวร์ SafeChat ปลอมตัวเป็นแอปพลิเคชันรับส่งข้อความที่ถูกต้องตามกฎหมาย

กลวิธีทั่วไปที่ผู้โจมตีใช้คือการพยายามเกลี้ยกล่อมเหยื่อให้ติดตั้งแอปพลิเคชันแชท โดยอ้างว่าจะทำให้มีแพลตฟอร์มการสื่อสารที่ปลอดภัยยิ่งขึ้น จากข้อมูลของผู้เชี่ยวชาญของอินโฟเซก สปายแวร์ปลอมตัวเป็น Safe Chat ใช้อินเทอร์เฟซผู้ใช้ที่หลอกลวงซึ่งเลียนแบบแอปแชทของแท้ นอกจากนี้ยังแนะนำเหยื่อผ่านกระบวนการลงทะเบียนผู้ใช้ที่ถูกต้องตามกฎหมาย เพิ่มความน่าเชื่อถือและทำหน้าที่เป็นตัวกำบังที่สมบูรณ์แบบสำหรับกิจกรรมที่เป็นอันตรายของสปายแวร์

ขั้นตอนสำคัญในกระบวนการติดไวรัสเกี่ยวข้องกับการได้รับสิทธิ์ที่สำคัญ เช่น ความสามารถในการใช้บริการการเข้าถึง จากนั้นสิทธิ์เหล่านี้จะถูกนำไปใช้ในทางที่ผิดเพื่อให้สปายแวร์เข้าถึงข้อมูลที่สำคัญโดยอัตโนมัติ โดยเฉพาะอย่างยิ่ง สปายแวร์จะเข้าถึงรายชื่อผู้ติดต่อของเหยื่อ ข้อความ SMS บันทึกการโทร ที่เก็บข้อมูลอุปกรณ์ภายนอก และสามารถดึงข้อมูลตำแหน่ง GPS ที่แม่นยำจากอุปกรณ์ที่ถูกบุกรุกได้

นอกจากนี้ ข้อมูลโค้ดจากไฟล์ Manifest ของ Android เผยให้เห็นว่าผู้คุกคามที่อยู่เบื้องหลังสปายแวร์ออกแบบให้โต้ตอบกับแอปพลิเคชันแชทอื่นๆ ที่ติดตั้งไว้แล้ว การโต้ตอบเกิดขึ้นจากการใช้ Intent และการอนุญาต OPEN_DOCUMENT_TREE ช่วยให้สปายแวร์สามารถเลือกไดเร็กทอรีเฉพาะเจาะจงและเข้าถึงแอปที่กล่าวถึงใน Intent

ในการกรองข้อมูลที่รวบรวมจากอุปกรณ์ที่ติดไวรัส สปายแวร์จะใช้โมดูลการกรองข้อมูลโดยเฉพาะ จากนั้นข้อมูลจะถูกถ่ายโอนไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ของผู้โจมตีผ่านพอร์ต 2053 เพื่อให้แน่ใจว่าข้อมูลที่ถูกกรองเป็นความลับระหว่างการส่ง สปายแวร์จะใช้การเข้ารหัสที่อำนวยความสะดวกโดยโมดูลอื่นที่รองรับ RSA, ECB และ OAEPPadding นอกจากนี้ ผู้โจมตีใช้ใบรับรอง "อนุญาตให้เข้ารหัส" เพื่อหลบเลี่ยงความพยายามสกัดกั้นข้อมูลเครือข่ายที่ทำกับพวกเขา

การเชื่อมต่อกับกลุ่มอาชญากรรมไซเบอร์อื่น ๆ

ในแคมเปญโจมตี SafeChat มีการระบุกลวิธี เทคนิค และขั้นตอน (TTP) หลายอย่าง ซึ่งมีความคล้ายคลึงกับกลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐอินเดียอีกกลุ่มหนึ่งที่เรียกว่า 'DoNot APT' (APT-C-35) โดยเฉพาะอย่างยิ่ง 'DoNot APT' เคยมีส่วนร่วมในการแทรกซึม Google Play ด้วยแอปแชทปลอมที่ทำหน้าที่เป็นสปายแวร์ ความคล้ายคลึงกันระหว่างแฮ็กเกอร์ทั้งสองกลุ่ม ได้แก่ การใช้ผู้ออกใบรับรองเดียวกัน วิธีการขโมยข้อมูลที่คล้ายคลึงกัน ขอบเขตการกำหนดเป้าหมายที่ใช้ร่วมกัน และการใช้แอป Android เพื่อแพร่เชื้อไปยังเป้าหมายที่ต้องการ

ความคล้ายคลึงกันที่สังเกตได้เหล่านี้ชี้ให้เห็นอย่างชัดเจนถึงการทับซ้อนที่อาจเกิดขึ้นหรือการทำงานร่วมกันอย่างใกล้ชิดระหว่างกลุ่มภัยคุกคามทั้งสองกลุ่ม นอกจากนี้ ความคล้ายคลึงกันในเทคนิคการขโมยข้อมูลและโฟกัสการกำหนดเป้าหมายที่ใช้ร่วมกันอาจบ่งบอกถึงเป้าหมายหรือจุดประสงค์ร่วมกันในการโจมตีของพวกเขา

ความจริงที่ว่าทั้งสองกลุ่มใช้แอพ Android เป็นวิธีการแทรกซึมทำให้แนวคิดของการทำงานร่วมกันหรือการแบ่งปันความรู้เป็นไปได้มากขึ้น สิ่งสำคัญคือต้องใช้ข้อบ่งชี้ของการทำงานร่วมกันเหล่านี้อย่างจริงจัง เนื่องจากบ่งชี้ถึงการเพิ่มศักยภาพในความซับซ้อนและความซับซ้อนของการโจมตีที่เปิดตัวโดยกลุ่มที่ได้รับการสนับสนุนจากรัฐเหล่านี้