SafeChat Mobil Kötü Amaçlı Yazılım

Bilgisayar korsanlarının, cihazlara casus yazılım kötü amaçlı yazılım bulaştırmak için 'SafeChat' adlı aldatıcı bir Android uygulamasını kullandıkları keşfedildi. Bu kötü amaçlı yazılım, arama günlükleri, kısa mesajlar ve GPS konumları dahil olmak üzere telefonlardan hassas bilgileri çalmayı amaçlar.

Android casus yazılımının, çeşitli iletişim uygulamalarından veri çalma yetenekleriyle tanınan kötü şöhretli 'Coverlm' kötü amaçlı yazılımının bir çeşidi olduğundan şüpheleniliyor. Hedeflenen uygulamalar arasında Telegram, Signal, WhatsApp, Viber ve Facebook Messenger gibi popüler platformlar yer alıyor.

Bu kampanyanın arkasında 'Bahamut ' olarak bilinen Hintli APT hack grubunun olduğuna inanılıyor. Öncelikle WhatsApp aracılığıyla dağıtılan hedef odaklı kimlik avı mesajlarını kullanan son saldırılardan sorumlu failler olarak belirlendiler. Bu mesajlar, doğrudan kurbanların cihazlarına iletilen tehdit edici yükler taşır. Bu Bahamut kampanyasının birincil hedefleri, Güney Asya'da bulunan kullanıcılardır.

SafeChat Kötü Amaçlı Yazılımı, Meşru Bir Mesajlaşma Uygulaması Gibi Görünüyor

Saldırganlar tarafından kullanılan yaygın bir taktik, mağdurları kendilerine daha güvenli bir iletişim platformu sağlayacağını iddia ederek bir sohbet uygulaması yüklemeye ikna etmektir. Infosec uzmanlarına göre, Güvenli Sohbet kılığına giren casus yazılım, gerçek bir sohbet uygulamasını taklit eden aldatıcı bir kullanıcı arayüzü kullanıyor. Ayrıca, kurbana meşru bir kullanıcı kayıt süreci gibi görünen bir süreçte rehberlik ederek güvenilirlik katar ve casus yazılımın kötü niyetli faaliyetleri için mükemmel bir örtü görevi görür.

Bulaşma sürecindeki çok önemli bir adım, Erişilebilirlik Hizmetlerini kullanma yeteneği gibi önemli izinlerin alınmasını içerir. Bu izinler daha sonra casus yazılıma hassas verilere otomatik olarak daha fazla erişim sağlamak için kötüye kullanılır. Daha spesifik olarak, casus yazılım kurbanın kişi listesine, SMS mesajlarına, arama günlüklerine, harici cihaz deposuna erişim kazanır ve güvenliği ihlal edilmiş cihazdan kesin GPS konum verilerini alabilir.

Ek olarak, Android Manifest dosyasından alınan parçacıklar, casus yazılımın arkasındaki tehdit aktörünün onu önceden yüklenmiş diğer sohbet uygulamalarıyla etkileşime girecek şekilde tasarladığını ortaya koyuyor. Etkileşim, amaçların kullanılması yoluyla gerçekleşir ve OPEN_DOCUMENT_TREE izni, casus yazılımın belirli dizinleri seçmesine ve amaçta bahsedilen uygulamalara erişmesine olanak tanır.

Casus yazılım, virüslü cihazdan toplanan verileri sızdırmak için özel bir veri sızdırma modülü kullanır. Bilgi daha sonra 2053 numaralı bağlantı noktası üzerinden saldırganın Komuta ve Kontrol (C2) sunucusuna aktarılır. Aktarım sırasında dışarı sızan bilgilerin gizliliğini sağlamak için casus yazılım, RSA, ECB ve OAEPPadding'i destekleyen başka bir modül tarafından kolaylaştırılan şifrelemeyi kullanır. Ayrıca saldırganlar, ağ verilerine yönelik kendilerine karşı yapılan herhangi bir müdahale girişiminden kaçınmak için bir "şifrele" sertifikası kullanır.

Diğer Siber Suç Gruplarıyla Bağlantılar

SafeChat saldırı kampanyasında, 'DoNot APT' (APT-C-35) olarak bilinen başka bir Hindistan devlet destekli tehdit grubuna çarpıcı bir benzerlik gösteren birkaç Taktik, Teknik ve Prosedür (TTP) tanımlanmıştır. Özellikle, 'DoNot APT' daha önce casus yazılım işlevi gören sahte sohbet uygulamalarıyla Google Play'e sızmaya karışmıştı. İki bilgisayar korsanı grubu arasındaki benzerlikler arasında aynı sertifika yetkilisinin kullanılması, benzer veri çalma metodolojileri, paylaşılan bir hedefleme kapsamı ve amaçlanan hedeflerine bulaşmak için Android uygulamalarının kullanılması yer alıyor.

Gözlenen bu paralellikler, iki tehdit grubu arasında olası bir çakışma veya yakın işbirliğini kuvvetle önerir. Ayrıca veri çalma tekniklerinin benzerliği ve paylaşılan hedefleme odağı, saldırılarında ortak bir amaç veya amaca işaret ediyor olabilir.

Her iki grubun da bir sızma aracı olarak Android uygulamalarını kullanmış olması, olası işbirliği veya bilgi paylaşımı fikrini daha da güçlendiriyor. Devlet destekli bu gruplar tarafından başlatılan saldırıların karmaşıklığında ve karmaşıklığında potansiyel bir artışa işaret ettikleri için bu işbirliği göstergelerini ciddiye almak çok önemlidir.