SafeChat 移动恶意软件

黑客被发现使用名为“SafeChat”的欺骗性 Android 应用程序来利用间谍软件恶意软件感染设备。该恶意软件旨在窃取手机中的敏感信息，包括通话记录、短信和 GPS 位置。

Android 间谍软件被怀疑是臭名昭著的“Coverlm”恶意软件的变种，该恶意软件以其从各种通信应用程序窃取数据的能力而闻名。目标应用程序包括 Telegram、Signal、WhatsApp、Viber 和 Facebook Messenger 等流行平台。

据信，名为“巴哈姆特”的印度 APT 黑客组织是此次活动的幕后黑手。他们已被确定为最近袭击的肇事者，主要使用通过 WhatsApp 分发的鱼叉式网络钓鱼消息。这些消息携带威胁有效负载，直接传递到受害者的设备。 《巴哈姆特》活动的主要目标是位于南亚的用户。

SafeChat 恶意软件伪装成合法的消息传递应用程序

攻击者常用的策略是尝试说服受害者安装聊天应用程序，声称这将为他们提供更安全的通信平台。据信息安全专家称，伪装成安全聊天的间谍软件采用模仿真实聊天应用程序的欺骗性用户界面。此外，它还引导受害者完成看似合法的用户注册过程，增加可信度并充当间谍软件恶意活动的完美掩护。

感染过程中的一个关键步骤涉及获取重要权限，例如使用辅助服务的能力。然后，这些权限被滥用以自动授予间谍软件对敏感数据的进一步访问权限。更具体地说，间谍软件可以访问受害者的联系人列表、短信、通话记录、外部设备存储，并可以从受感染的设备检索精确的 GPS 位置数据。

此外，Android Manifest 文件中的片段显示，间谍软件背后的威胁参与者将其设计为与其他已安装的聊天应用程序进行交互。通过使用意图进行交互，OPEN_DOCUMENT_TREE 权限允许间谍软件选择特定目录并访问意图中提到的应用程序。

为了泄露从受感染设备收集的数据，间谍软件采用了专用的数据泄露模块。然后，信息通过端口 2053 传输到攻击者的命令与控制 (C2) 服务器。为了确保传输过程中泄露信息的机密性，间谍软件利用另一个支持 RSA、ECB 和 OAEPPadding 的模块进行加密。此外，攻击者还使用“let encrypt”证书来逃避针对他们的网络数据拦截尝试。

与其他网络犯罪组织的联系

在 SafeChat 攻击活动中，已确定了多种策略、技术和程序 (TTP)，这些策略、技术和程序 (TTP) 与另一个印度国家支持的威胁组织“DoNot APT”(APT-C-35) 极为相似。值得注意的是，“DoNot APT”此前曾利用充当间谍软件的虚假聊天应用程序渗透 Google Play。这两个黑客组织之间的相似之处包括使用相同的证书颁发机构、相似的数据窃取方法、共享的目标范围以及利用 Android 应用程序来感染其预期目标。

这些观察到的相似之处强烈表明两个威胁组织之间存在潜在的重叠或密切合作。此外，数据窃取技术的相似性和共同的目标焦点可能表明他们的攻击有共同的目标或目的。

事实上，两个组织都使用 Android 应用程序作为渗透手段，这进一步强化了可能的协作或知识共享的概念。认真对待这些合作迹象至关重要，因为它们意味着这些国家支持的组织发起的攻击的复杂性和复杂性可能会增加。