Το SafeChat Mobile Malware στοχεύει τις υπηρεσίες άμεσων μηνυμάτων για κινητά
Οι χάκερ έχουν εντοπιστεί χρησιμοποιώντας μια παραπλανητική εφαρμογή ανταλλαγής μηνυμάτων Android, που αναφέρεται ως SafeChat, για να κάνουν κατασκοπεία σε ανυποψίαστους στόχους. Η κακόβουλη εφαρμογή, που πιστεύεται ότι σχετίζεται με την ινδική ομάδα hacking APT γνωστή ως Bahamut, εστιάζει σε δημοφιλείς πλατφόρμες επικοινωνίας όπως το Signal και το WhatsApp, εξάγοντας ευαίσθητες πληροφορίες όπως αρχεία καταγραφής κλήσεων, μηνύματα και τοποθεσίες GPS από παραβιασμένα smartphone.
Αυτή η εξελιγμένη εκστρατεία hacking έχει προκαλέσει ανησυχίες μεταξύ των χρηστών εφαρμογών επικοινωνίας. Το λογισμικό υποκλοπής που είναι ενσωματωμένο στο SafeChat, το οποίο υποπτεύεται ότι είναι μια παραλλαγή του "Coverlm", στοχεύει συγκεκριμένα υπηρεσίες ανταλλαγής μηνυμάτων όπως το Telegram, το Signal, το WhatsApp, το Viber και το Facebook Messenger, επιτρέποντας στους χάκερ να εκμεταλλευτούν ευπάθειες και να αποκτήσουν πολύτιμα δεδομένα χρήστη.
Οι πρόσφατες επιθέσεις της Μπαχαμούτ βασίζονται κυρίως σε μηνύματα ηλεκτρονικού ψαρέματος που αποστέλλονται μέσω του WhatsApp. Αυτά τα μηνύματα λειτουργούν ως μηχανισμός παράδοσης για τα κακόβουλα ωφέλιμα φορτία, επιτρέποντας στο spyware να διεισδύει στις συσκευές των χρηστών απρόσκοπτα. Τα θύματα παρασύρονται να εγκαταστήσουν το SafeChat με το πρόσχημα της μετάβασης σε μια πιο ασφαλή πλατφόρμα, πέφτοντας θύματα της παραπλανητικής διεπαφής και της διαδικασίας εγγραφής του.
Το SafeChat λαμβάνει υπερβολικά δικαιώματα
Για να φαίνεται γνήσιο, το SafeChat χρησιμοποιεί τακτικές κοινωνικής μηχανικής, κερδίζοντας την εμπιστοσύνη του θύματος ενώ παράλληλα αποκτά δικαιώματα χρήσης των Υπηρεσιών Προσβασιμότητας, οι οποίες διαδραματίζουν κρίσιμο ρόλο στη διαδικασία μόλυνσης. Με την εκμετάλλευση αυτών των αδειών, το λογισμικό κατασκοπείας αποκτά πρόσβαση στις επαφές του θύματος, στα SMS, στα αρχεία καταγραφής κλήσεων, στην αποθήκευση εξωτερικής συσκευής και στα ακριβή δεδομένα τοποθεσίας GPS.
Συγκεκριμένα, το κακόβουλο λογισμικό μπορεί επίσης να αλληλεπιδράσει με άλλες εφαρμογές συνομιλίας που είναι ήδη εγκατεστημένες στη συσκευή, χρησιμοποιώντας προθέσεις και συγκεκριμένους καταλόγους για πιθανή εξαγωγή δεδομένων και από αυτές τις εφαρμογές.
Μετά τη συλλογή των κλεμμένων δεδομένων, το λογισμικό υποκλοπής τα μεταδίδει με ασφάλεια στον διακομιστή Command and Control (C2) των εισβολέων μέσω της θύρας 2053. Για να αποφευχθεί ο εντοπισμός, τα κλεμμένα δεδομένα κρυπτογραφούνται χρησιμοποιώντας RSA, ECB και OAEPPadding, ενώ ένα πιστοποιητικό "letsencrypt" χρησιμοποιούνται από τους εισβολείς για να αντιμετωπίσουν τις προσπάθειες υποκλοπής δεδομένων δικτύου εναντίον τους.
Ερευνητές από το CYFIRMA έχουν συγκεντρώσει αρκετά στοιχεία για να συνδέσουν τις δραστηριότητες του Bahamut με μια συγκεκριμένη πολιτειακή κυβέρνηση στην Ινδία, δημιουργώντας ομοιότητες με μια άλλη ομάδα απειλών που χρηματοδοτείται από το ινδικό κράτος, την DoNot APT (APT-C-35). Η κοινή χρήση των αρχών πιστοποιητικών, οι μεθοδολογίες κλοπής δεδομένων και το εύρος στόχου υποδηλώνουν έντονα τη στενή συνεργασία μεταξύ των δύο ομάδων.
