SafeChat Mobile Malware zielt auf mobile IM-Dienste ab
Es wurde festgestellt, dass Hacker eine betrügerische Android-Messaging-App namens SafeChat nutzen, um ahnungslose Ziele auszuspionieren. Die bösartige App, die vermutlich mit der indischen APT-Hackergruppe namens Bahamut in Verbindung steht, konzentriert sich auf beliebte Kommunikationsplattformen wie Signal und WhatsApp und extrahiert vertrauliche Informationen wie Anrufprotokolle, Nachrichten und GPS-Standorte von kompromittierten Smartphones.
Diese raffinierte Hacking-Kampagne hat bei Nutzern von Kommunikationsanwendungen Bedenken hervorgerufen. Die in SafeChat eingebettete Spyware, bei der es sich vermutlich um eine Variante von „Coverlm“ handelt, zielt speziell auf Messaging-Dienste wie Telegram, Signal, WhatsApp, Viber und Facebook Messenger ab und ermöglicht es den Hackern, Schwachstellen auszunutzen und an wertvolle Benutzerdaten zu gelangen.
Die jüngsten Angriffe von Bahamut basieren hauptsächlich auf Spear-Phishing-Nachrichten, die über WhatsApp gesendet werden. Diese Nachrichten fungieren als Übermittlungsmechanismus für die bösartigen Payloads und ermöglichen es der Spyware, nahtlos in die Geräte der Benutzer einzudringen. Opfer werden unter dem Vorwand, auf eine sicherere Plattform umzusteigen, zur Installation von SafeChat verleitet und fallen so der betrügerischen Benutzeroberfläche und dem Registrierungsprozess zum Opfer.
SafeChat erhält übermäßige Berechtigungen
Um authentisch zu wirken, setzt SafeChat Social-Engineering-Taktiken ein, um das Vertrauen des Opfers zu gewinnen und gleichzeitig Berechtigungen zur Nutzung der Barrierefreiheitsdienste zu erhalten, die eine entscheidende Rolle im Infektionsprozess spielen. Durch die Ausnutzung dieser Berechtigungen erhält die Spyware Zugriff auf die Kontakte, SMS, Anrufprotokolle, externen Gerätespeicher und genaue GPS-Standortdaten des Opfers.
Insbesondere kann die Malware auch mit anderen Chat-Anwendungen interagieren, die bereits auf dem Gerät installiert sind, und dabei Absichten und bestimmte Verzeichnisse nutzen, um möglicherweise auch Daten aus diesen Apps zu extrahieren.
Nach dem Sammeln der gestohlenen Daten überträgt die Spyware diese sicher über Port 2053 an den Command and Control (C2)-Server des Angreifers. Um eine Entdeckung zu vermeiden, werden die gestohlenen Daten mit RSA, ECB und OAEPPadding verschlüsselt, während ein „letsencrypt“-Zertifikat ebenfalls verwendet wird werden von den Angreifern eingesetzt, um Angriffen auf das Abfangen von Netzwerkdaten entgegenzuwirken.
Forscher von CYFIRMA haben genügend Beweise gesammelt, um Bahamuts Aktivitäten mit einer bestimmten Landesregierung in Indien in Verbindung zu bringen, und ziehen Ähnlichkeiten mit einer anderen staatlich geförderten indischen Bedrohungsgruppe, der DoNot APT (APT-C-35). Die gemeinsame Nutzung von Zertifizierungsstellen, Methoden zum Datendiebstahl und der Zielumfang weisen stark auf eine enge Zusammenarbeit zwischen den beiden Gruppen hin.
