SafeChat Mobile Malware se dirige a los servicios de mensajería instantánea móvil
Los piratas informáticos han sido identificados utilizando una aplicación de mensajería de Android engañosa, conocida como SafeChat, para realizar espionaje sobre objetivos desprevenidos. La aplicación maliciosa, que se cree que está asociada con el grupo de piratería indio APT conocido como Bahamut, se enfoca en plataformas de comunicación populares como Signal y WhatsApp, extrayendo información confidencial como registros de llamadas, mensajes y ubicaciones de GPS de teléfonos inteligentes comprometidos.
Esta sofisticada campaña de piratería ha generado preocupación entre los usuarios de aplicaciones de comunicación. El software espía integrado en SafeChat, que se sospecha que es una variante de "Coverlm", apunta específicamente a servicios de mensajería como Telegram, Signal, WhatsApp, Viber y Facebook Messenger, lo que permite a los piratas informáticos explotar vulnerabilidades y obtener datos valiosos de los usuarios.
Los ataques recientes de Bahamut se basan principalmente en mensajes de phishing enviados a través de WhatsApp. Estos mensajes actúan como un mecanismo de entrega para las cargas maliciosas, lo que permite que el software espía se infiltre en los dispositivos de los usuarios sin problemas. Se atrae a las víctimas para que instalen SafeChat con el pretexto de hacer la transición a una plataforma más segura, y caen presas de su interfaz y proceso de registro engañosos.
SafeChat obtiene permisos excesivos
Para parecer genuino, SafeChat emplea tácticas de ingeniería social, ganándose la confianza de la víctima mientras adquiere permisos para usar los Servicios de Accesibilidad, que juegan un papel crucial en el proceso de infección. Al explotar estos permisos, el spyware obtiene acceso a los contactos, SMS, registros de llamadas, almacenamiento de dispositivos externos y datos precisos de ubicación GPS de la víctima.
En particular, el malware también puede interactuar con otras aplicaciones de chat ya instaladas en el dispositivo, utilizando intenciones y directorios específicos para extraer también datos de estas aplicaciones.
Después de recopilar los datos robados, el spyware los transmite de forma segura al servidor de comando y control (C2) de los atacantes a través del puerto 2053. Para evitar la detección, los datos robados se cifran mediante RSA, ECB y OAEPPadding, mientras que se obtiene un certificado "letsencrypt". empleados por los atacantes para contrarrestar los esfuerzos de interceptación de datos de red contra ellos.
Los investigadores de CYFIRMA han acumulado suficiente evidencia para vincular las actividades de Bahamut con un gobierno estatal específico en la India, estableciendo similitudes con otro grupo amenazante patrocinado por el estado indio, DoNot APT (APT-C-35). El uso compartido de autoridades de certificación, metodologías de robo de datos y alcance objetivo indican claramente una estrecha colaboración entre los dos grupos.
