SafeChat 移動惡意軟件

黑客被發現使用名為“SafeChat”的欺騙性 Android 應用程序來利用間諜軟件惡意軟件感染設備。該惡意軟件旨在竊取手機中的敏感信息，包括通話記錄、短信和 GPS 位置。

Android 間諜軟件被懷疑是臭名昭著的“Coverlm”惡意軟件的變種，該惡意軟件以其從各種通信應用程序竊取數據的能力而聞名。目標應用程序包括 Telegram、Signal、WhatsApp、Viber 和 Facebook Messenger 等流行平台。

據信，名為“巴哈姆特”的印度 APT 黑客組織是此次活動的幕後黑手。他們已被確定為最近襲擊的肇事者，主要使用通過 WhatsApp 分發的魚叉式網絡釣魚消息。這些消息攜帶威脅有效負載，直接傳遞到受害者的設備。 《巴哈姆特》活動的主要目標是位於南亞的用戶。

SafeChat 惡意軟件偽裝成合法的消息傳遞應用程序

攻擊者常用的策略是嘗試說服受害者安裝聊天應用程序，聲稱這將為他們提供更安全的通信平台。據信息安全專家稱，偽裝成安全聊天的間諜軟件採用模仿真實聊天應用程序的欺騙性用戶界面。此外，它還引導受害者完成看似合法的用戶註冊過程，增加可信度並充當間諜軟件惡意活動的完美掩護。

感染過程中的一個關鍵步驟涉及獲取重要權限，例如使用輔助服務的能力。然後，這些權限被濫用以自動授予間諜軟件對敏感數據的進一步訪問權限。更具體地說，間諜軟件可以訪問受害者的聯繫人列表、短信、通話記錄、外部設備存儲，並可以從受感染的設備檢索精確的 GPS 位置數據。

此外，Android Manifest 文件中的片段顯示，間諜軟件背後的威脅參與者將其設計為與其他已安裝的聊天應用程序進行交互。通過使用意圖進行交互，OPEN_DOCUMENT_TREE 權限允許間諜軟件選擇特定目錄並訪問意圖中提到的應用程序。

為了洩露從受感染設備收集的數據，間諜軟件採用了專用的數據洩露模塊。然後，信息通過端口 2053 傳輸到攻擊者的命令與控制 (C2) 服務器。為了確保傳輸過程中洩露信息的機密性，間諜軟件利用另一個支持 RSA、ECB 和 OAEPPadding 的模塊進行加密。此外，攻擊者還使用“let encrypt”證書來逃避針對他們的網絡數據攔截嘗試。

與其他網絡犯罪組織的聯繫

在SafeChat 攻擊活動中，已確定了多種策略、技術和程序(TTP)，這些策略、技術和程序(TTP) 與另一個印度國家支持的威脅組織“DoNot APT”(APT-C-35) 極為相似。值得注意的是，“DoNot APT”此前曾利用充當間諜軟件的虛假聊天應用程序滲透 Google Play。這兩個黑客組織之間的相似之處包括使用相同的證書頒發機構、相似的數據竊取方法、共享的目標範圍以及利用 Android 應用程序來感染其預期目標。

這些觀察到的相似之處強烈表明兩個威脅組織之間存在潛在的重疊或密切合作。此外，數據竊取技術的相似性和共同的目標焦點可能表明他們的攻擊有共同的目標或目的。

事實上，兩個組織都使用 Android 應用程序作為滲透手段，這進一步強化了可能的協作或知識共享的概念。認真對待這些合作跡象至關重要，因為它們意味著這些國家支持的組織發起的攻擊的複雜性和復雜性可能會增加。