SafeChat Mobile Malware
Natuklasan ang mga hacker na gumagamit ng mapanlinlang na Android application na tinatawag na 'SafeChat' upang mahawahan ang mga device na may spyware malware. Nilalayon ng malisyosong software na ito na kunin ang sensitibong impormasyon mula sa mga telepono, kabilang ang mga log ng tawag, mga text message at mga lokasyon ng GPS.
Ang Android spyware ay pinaghihinalaang isang variant ng kasumpa-sumpa na 'Coverlm' malware, na kilala sa mga kakayahan nito sa pagnanakaw ng data mula sa iba't ibang apps ng komunikasyon. Kasama sa mga target na application ang mga sikat na platform tulad ng Telegram, Signal, WhatsApp, Viber at Facebook Messenger.
Ang Indian APT hacking group na kilala bilang 'Bahamut ' ay pinaniniwalaang nasa likod ng kampanyang ito. Sila ay nakilala bilang ang mga may pananagutan sa mga kamakailang pag-atake, pangunahin ang paggamit ng mga mensahe ng spear phishing na ipinamahagi sa pamamagitan ng WhatsApp. Ang mga mensaheng ito ay nagdadala ng mga nagbabantang kargamento, na direktang inihahatid sa mga device ng mga biktima. Ang mga pangunahing target ng Bahamut campaign na ito ay mga user na matatagpuan sa South Asia.
Nagkukunwari ang SafeChat Malware bilang Lehitimong Aplikasyon sa Pagmemensahe
Ang isang karaniwang taktika na ginagamit ng mga umaatake ay upang subukan at hikayatin ang mga biktima na mag-install ng isang chat application, na sinasabing ito ay magbibigay sa kanila ng isang mas secure na platform ng komunikasyon. Ayon sa mga eksperto sa infosec, ang spyware na itinago bilang Safe Chat ay gumagamit ng mapanlinlang na user interface na ginagaya ang isang tunay na chat app. Higit pa rito, ginagabayan nito ang biktima sa tila isang lehitimong proseso ng pagpaparehistro ng user, pagdaragdag ng kredibilidad at pagkilos bilang isang perpektong takip para sa mga malisyosong aktibidad ng spyware.
Ang isang mahalagang hakbang sa proseso ng impeksyon ay nagsasangkot ng pagkuha ng mahahalagang pahintulot, tulad ng kakayahang gumamit ng Mga Serbisyo sa Accessibility. Ang mga pahintulot na ito ay maling ginagamit upang awtomatikong bigyan ang spyware ng karagdagang access sa sensitibong data. Higit na partikular, ang spyware ay nakakakuha ng access sa listahan ng contact ng biktima, mga mensaheng SMS, mga log ng tawag, panlabas na storage ng device at maaaring makuha ang tumpak na data ng lokasyon ng GPS mula sa nakompromisong device.
Bukod pa rito, ang mga snippet mula sa Android Manifest file ay nagpapakita na ang threat actor sa likod ng spyware ay nagdisenyo nito upang makipag-ugnayan sa iba pang naka-install na mga chat application. Nagaganap ang pakikipag-ugnayan sa pamamagitan ng paggamit ng mga layunin, at ang pahintulot ng OPEN_DOCUMENT_TREE ay nagbibigay-daan sa spyware na pumili ng mga partikular na direktoryo at ma-access ang mga app na binanggit sa layunin.
Upang i-exfiltrate ang data na nakolekta mula sa infected na device, ang spyware ay gumagamit ng nakalaang data exfiltration module. Pagkatapos ay ililipat ang impormasyon sa Command-and-Control (C2) server ng attacker sa pamamagitan ng port 2053. Upang matiyak ang pagiging kumpidensyal ng na-exfiltrate na impormasyon sa panahon ng paghahatid, ang spyware ay gumagamit ng encryption na pinadali ng isa pang module na sumusuporta sa RSA, ECB, at OAEPPadding. Higit pa rito, ang mga umaatake ay gumagamit ng isang "lets encrypt" na sertipiko upang maiwasan ang anumang mga pagtatangka ng pagharang ng data ng network na ginawa laban sa kanila.
Mga Koneksyon sa Iba Pang Mga Grupo ng Cybercrime
Sa SafeChat attack campaign, ilang Tactics, Techniques, and Procedures (TTPs) ang natukoy, na may kapansin-pansing pagkakahawig sa isa pang grupo ng pagbabanta na inisponsor ng estado ng India na kilala bilang 'DoNot APT' (APT-C-35). Kapansin-pansin, ang 'DoNot APT' ay dati nang nasangkot sa paglusot sa Google Play gamit ang mga pekeng chat app na gumagana bilang spyware. Kasama sa mga pagkakatulad sa pagitan ng dalawang pangkat ng hacker ang paggamit ng parehong awtoridad sa sertipiko, mga katulad na pamamaraan sa pagnanakaw ng data, isang nakabahaging saklaw sa pag-target, at ang paggamit ng mga Android app upang mahawahan ang kanilang mga nilalayong target.
Ang mga naobserbahang parallel na ito ay lubos na nagmumungkahi ng potensyal na magkakapatong o malapit na pakikipagtulungan sa pagitan ng dalawang grupo ng pagbabanta. Bilang karagdagan, ang pagkakatulad sa mga diskarte sa pagnanakaw ng data at ang nakabahaging pagtutok sa pag-target ay maaaring magpahiwatig ng isang karaniwang layunin o layunin sa kanilang mga pag-atake.
Ang katotohanan na ang parehong grupo ay gumamit ng mga Android app bilang isang paraan ng paglusot ay higit na nagpapatibay sa ideya ng posibleng pakikipagtulungan o pagbabahagi ng kaalaman. Napakahalagang seryosohin ang mga indikasyon na ito ng pakikipagtulungan dahil ang mga ito ay nagpapahiwatig ng potensyal na pagtaas sa pagiging sopistikado at pagiging kumplikado ng mga pag-atake na inilunsad ng mga grupong ito na inisponsor ng estado.
