SafeChat Mobile Malware er rettet mod mobile IM-tjenester
Hackere er blevet identificeret ved hjælp af en vildledende Android-meddelelsesapp, kaldet SafeChat, til at udføre spionage mod intetanende mål. Den ondsindede app, der menes at være forbundet med den indiske APT-hackinggruppe kendt som Bahamut, fokuserer på populære kommunikationsplatforme som Signal og WhatsApp, og udtrækker følsom information såsom opkaldslogger, beskeder og GPS-placeringer fra kompromitterede smartphones.
Denne sofistikerede hacking-kampagne har givet anledning til bekymring blandt brugere af kommunikationsapplikationer. Spywaren indlejret i SafeChat, der mistænkes for at være en variant af "Coverlm", retter sig specifikt mod meddelelsestjenester som Telegram, Signal, WhatsApp, Viber og Facebook Messenger, hvilket gør det muligt for hackerne at udnytte sårbarheder og få værdifulde brugerdata.
Bahamuts seneste angreb er hovedsageligt afhængige af spear phishing-beskeder sendt via WhatsApp. Disse meddelelser fungerer som en leveringsmekanisme for de ondsindede nyttelaster, hvilket tillader spyware at infiltrere brugernes enheder problemfrit. Ofre lokkes til at installere SafeChat under dække af at gå over til en mere sikker platform, og bliver ofre for dets vildledende grænseflade og registreringsproces.
SafeChat opnår for mange tilladelser
For at fremstå ægte anvender SafeChat social engineering taktik, vinder ofrets tillid, samtidig med at den får tilladelse til at bruge tilgængelighedstjenesterne, som spiller en afgørende rolle i infektionsprocessen. Ved at udnytte disse tilladelser får spywaren adgang til ofrets kontakter, SMS, opkaldslogger, ekstern enhedslagring og præcise GPS-placeringsdata.
Navnlig kan malwaren også interagere med andre chatapplikationer, der allerede er installeret på enheden, ved at bruge hensigter og specifikke mapper til potentielt også at udtrække data fra disse apps.
Efter at have indsamlet de stjålne data, sender spywaren dem sikkert til angriberens Command and Control (C2) server via port 2053. For at undgå opdagelse krypteres de stjålne data ved hjælp af RSA, ECB og OAEPPadding, mens et "letsencrypt" certifikat er ansat af angriberne til at modvirke netværksdataaflytningstiltag mod dem.
Forskere fra CYFIRMA har samlet nok beviser til at forbinde Bahamuts aktiviteter med en specifik statsregering i Indien, hvilket tegner ligheder med en anden indisk statssponsoreret trusselgruppe, DoNot APT (APT-C-35). Den fælles brug af certifikatmyndigheder, metoder til datatyveri og målomfang indikerer stærkt et tæt samarbejde mellem de to grupper.
