Зловмисне програмне забезпечення для мобільних пристроїв SafeChat
Було виявлено, що хакери використовують оманливу програму Android під назвою SafeChat для зараження пристроїв шпигунським програмним забезпеченням. Це зловмисне програмне забезпечення спрямоване на крадіжку конфіденційної інформації з телефонів, зокрема журналів викликів, текстових повідомлень і місцеположення GPS.
Підозрюється, що шпигунське програмне забезпечення для Android є варіантом сумнозвісного шкідливого програмного забезпечення Coverlm, відомого своїми можливостями крадіжки даних із різних комунікаційних програм. Цільові програми включають такі популярні платформи, як Telegram, Signal, WhatsApp, Viber і Facebook Messenger.
Вважається, що за цією кампанією стоїть індійська хакерська група APT, відома як «Багамут ». Вони були ідентифіковані як зловмисники, відповідальні за нещодавні атаки, в основному з використанням фішингових повідомлень, що розповсюджуються через WhatsApp. Ці повідомлення несуть загрозливі навантаження, які безпосередньо доставляються на пристрої жертв. Основними цілями цієї кампанії Bahamut є користувачі з Південної Азії.
Зловмисне програмне забезпечення SafeChat маскується під законну програму обміну повідомленнями
Поширеною тактикою зловмисників є намагання переконати жертву встановити програму для чату, стверджуючи, що це забезпечить їм безпечнішу платформу спілкування. За словами експертів Infosec, шпигунське програмне забезпечення, замасковане під Safe Chat, використовує оманливий інтерфейс користувача, який імітує справжній додаток для чату. Крім того, він проводить жертву через, здається, законний процес реєстрації користувача, додаючи довіри та діючи як ідеальне прикриття для зловмисної діяльності шпигунського ПЗ.
Вирішальним кроком у процесі зараження є отримання важливих дозволів, таких як можливість використання служб доступності. Ці дозволи потім зловживають, щоб автоматично надати шпигунському програмному забезпеченню подальший доступ до конфіденційних даних. Зокрема, шпигунське програмне забезпечення отримує доступ до списку контактів жертви, SMS-повідомлень, журналів викликів, пам’яті зовнішнього пристрою та може отримати точні дані про місцезнаходження за допомогою GPS зі зламаного пристрою.
Крім того, фрагменти з файлу маніфесту Android показують, що загроза, яка стоїть за шпигунським програмним забезпеченням, створила його для взаємодії з іншими вже встановленими програмами чату. Взаємодія відбувається за допомогою намірів, а дозвіл OPEN_DOCUMENT_TREE дозволяє програмі-шпигуну вибирати певні каталоги та отримувати доступ до програм, згаданих у намірі.
Для вилучення даних, зібраних із зараженого пристрою, шпигунське програмне забезпечення використовує спеціальний модуль вилучення даних. Потім інформація передається на командно-контрольний (C2) сервер зловмисника через порт 2053. Щоб забезпечити конфіденційність викраденої інформації під час передачі, шпигунське програмне забезпечення використовує шифрування за допомогою іншого модуля, який підтримує RSA, ECB і OAEPPadding. Крім того, зловмисники використовують сертифікат "lets encrypt", щоб уникнути будь-яких спроб перехоплення мережевих даних, зроблених проти них.
Зв’язки з іншими кіберзлочинними групами
У кампанії атаки SafeChat було виявлено кілька тактик, методів і процедур (TTP), які мають разючу схожість з іншою індійською державною групою загроз, відомою як «DoNot APT» (APT-C-35). Зокрема, «DoNot APT» раніше брав участь у проникненні в Google Play за допомогою підроблених програм для чату, які функціонують як шпигунські програми. Подібності між цими двома хакерськими групами включають використання одного центру сертифікації, подібні методології викрадення даних, спільну область націлювання та використання програм Android для зараження їхніх цілей.
Ці спостережувані паралелі переконливо свідчать про потенційне збіг або тісну співпрацю між двома групами загрози. Крім того, подібність методів викрадення даних і спільне націлювання можуть вказувати на спільну ціль або мету їхніх атак.
Той факт, що обидві групи використовували програми для Android як засіб проникнення, ще більше підсилює уявлення про можливу співпрацю чи обмін знаннями. Вкрай важливо сприймати ці ознаки співпраці серйозно, оскільки вони означають потенційне зростання витонченості та складності атак, які здійснюють ці спонсоровані державою групи.
