Giảm giá nhiều giấy phép
Threat Database Mobile Malware Phần mềm độc hại SafeChat dành cho thiết bị di động

Phần mềm độc hại SafeChat dành cho thiết bị di động

Đến năm Mezo năm Mobile Malware, Spyware
Dịch sang:
Tiếng Việt Nam

Các tin tặc đã bị phát hiện sử dụng một ứng dụng Android lừa đảo có tên 'SafeChat' để lây nhiễm phần mềm độc hại phần mềm gián điệp vào các thiết bị. Phần mềm độc hại này nhằm đánh cắp thông tin nhạy cảm từ điện thoại, bao gồm nhật ký cuộc gọi, tin nhắn văn bản và vị trí GPS.

Phần mềm gián điệp Android bị nghi ngờ là một biến thể của phần mềm độc hại 'Coverlm' khét tiếng, được biết đến với khả năng đánh cắp dữ liệu từ các ứng dụng liên lạc khác nhau. Các ứng dụng được nhắm mục tiêu bao gồm các nền tảng phổ biến như Telegram, Signal, WhatsApp, Viber và Facebook Messenger.

Nhóm hack APT của Ấn Độ được gọi là 'Bahamut ' được cho là đứng sau chiến dịch này. Họ đã được xác định là thủ phạm gây ra các cuộc tấn công gần đây, chủ yếu sử dụng các tin nhắn lừa đảo trực tuyến được phân phối qua WhatsApp. Những tin nhắn này mang trọng tải đe dọa, được gửi trực tiếp đến thiết bị của nạn nhân. Mục tiêu chính của chiến dịch Bahamut này là người dùng ở Nam Á.

Phần mềm độc hại SafeChat giả dạng ứng dụng nhắn tin hợp pháp

Một chiến thuật phổ biến được những kẻ tấn công sử dụng là cố gắng thuyết phục nạn nhân cài đặt ứng dụng trò chuyện, tuyên bố rằng ứng dụng này sẽ cung cấp cho họ một nền tảng liên lạc an toàn hơn. Theo các chuyên gia của infosec, phần mềm gián điệp được ngụy trang dưới dạng Trò chuyện an toàn sử dụng giao diện người dùng lừa đảo bắt chước một ứng dụng trò chuyện chính hãng. Hơn nữa, nó hướng dẫn nạn nhân thông qua quy trình đăng ký người dùng hợp pháp, tăng thêm độ tin cậy và hoạt động như một vỏ bọc hoàn hảo cho các hoạt động độc hại của phần mềm gián điệp.

Một bước quan trọng trong quá trình lây nhiễm liên quan đến việc có được các quyền quan trọng, chẳng hạn như khả năng sử dụng Dịch vụ trợ năng. Sau đó, các quyền này bị lạm dụng để tự động cấp cho phần mềm gián điệp quyền truy cập thêm vào dữ liệu nhạy cảm. Cụ thể hơn, phần mềm gián điệp có quyền truy cập vào danh sách liên lạc, tin nhắn SMS, nhật ký cuộc gọi, bộ nhớ thiết bị bên ngoài của nạn nhân và có thể truy xuất dữ liệu vị trí GPS chính xác từ thiết bị bị xâm nhập.

Ngoài ra, các đoạn trích từ tệp Bản kê khai Android tiết lộ rằng tác nhân đe dọa đằng sau phần mềm gián điệp đã thiết kế phần mềm này để tương tác với các ứng dụng trò chuyện đã được cài đặt khác. Sự tương tác xảy ra thông qua việc sử dụng các ý định và quyền OPEN_DOCUMENT_TREE cho phép phần mềm gián điệp chọn các thư mục cụ thể và truy cập các ứng dụng được đề cập trong ý định.

Để lọc dữ liệu được thu thập từ thiết bị bị nhiễm, phần mềm gián điệp sử dụng mô-đun lọc dữ liệu chuyên dụng. Sau đó, thông tin được chuyển đến máy chủ Command-and-Control (C2) của kẻ tấn công thông qua cổng 2053. Để đảm bảo tính bảo mật của thông tin bị rò rỉ trong quá trình truyền, phần mềm gián điệp sử dụng mã hóa được hỗ trợ bởi một mô-đun khác hỗ trợ RSA, ECB và OAEPPadding. Hơn nữa, những kẻ tấn công sử dụng chứng chỉ "cho phép mã hóa" để trốn tránh mọi nỗ lực chặn dữ liệu mạng được thực hiện đối với chúng.

Kết nối với các nhóm tội phạm mạng khác

Trong chiến dịch tấn công SafeChat, một số Chiến thuật, Kỹ thuật và Quy trình (TTP) đã được xác định, có điểm tương đồng nổi bật với một nhóm đe dọa khác do nhà nước Ấn Độ tài trợ có tên là 'DoNot APT' (APT-C-35). Đáng chú ý, 'DoNot APT' trước đây đã tham gia vào việc xâm nhập Google Play bằng các ứng dụng trò chuyện giả mạo có chức năng như phần mềm gián điệp. Những điểm giống nhau giữa hai nhóm tin tặc bao gồm việc sử dụng cùng một cơ quan cấp chứng chỉ, các phương pháp đánh cắp dữ liệu tương tự, phạm vi nhắm mục tiêu được chia sẻ và việc sử dụng các ứng dụng Android để lây nhiễm các mục tiêu dự định của chúng.

Những điểm tương đồng được quan sát này gợi ý mạnh mẽ về khả năng chồng chéo hoặc hợp tác chặt chẽ giữa hai nhóm mối đe dọa. Ngoài ra, sự giống nhau trong các kỹ thuật đánh cắp dữ liệu và trọng tâm nhắm mục tiêu được chia sẻ có thể chỉ ra một mục tiêu hoặc mục đích chung trong các cuộc tấn công của chúng.

Thực tế là cả hai nhóm đã sử dụng các ứng dụng Android như một phương tiện xâm nhập càng củng cố khái niệm về khả năng cộng tác hoặc chia sẻ kiến thức. Điều quan trọng là phải xem xét nghiêm túc những dấu hiệu hợp tác này vì chúng biểu thị khả năng gia tăng mức độ tinh vi và phức tạp của các cuộc tấn công do các nhóm được nhà nước bảo trợ này phát động.

 

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...