Le logiciel malveillant SafeChat Mobile cible les services de messagerie instantanée mobile
Des pirates ont été identifiés à l'aide d'une application de messagerie Android trompeuse, appelée SafeChat, pour espionner des cibles sans méfiance. L'application malveillante, qui serait associée au groupe indien de piratage APT connu sous le nom de Bahamut, se concentre sur les plates-formes de communication populaires telles que Signal et WhatsApp, extrayant des informations sensibles telles que les journaux d'appels, les messages et les emplacements GPS des smartphones compromis.
Cette campagne de piratage sophistiquée a suscité des inquiétudes parmi les utilisateurs d'applications de communication. Le logiciel espion intégré à SafeChat, soupçonné d'être une variante de "Coverlm", cible spécifiquement les services de messagerie tels que Telegram, Signal, WhatsApp, Viber et Facebook Messenger, permettant aux pirates d'exploiter les vulnérabilités et d'obtenir de précieuses données utilisateur.
Les attaques récentes de Bahamut reposent principalement sur des messages de spear phishing envoyés via WhatsApp. Ces messages agissent comme un mécanisme de livraison pour les charges utiles malveillantes, permettant au logiciel espion d'infiltrer les appareils des utilisateurs de manière transparente. Les victimes sont incitées à installer SafeChat sous prétexte de passer à une plate-forme plus sécurisée, devenant la proie de son interface et de son processus d'enregistrement trompeurs.
SafeChat obtient des autorisations excessives
Pour paraître authentique, SafeChat utilise des tactiques d'ingénierie sociale, gagnant la confiance de la victime tout en acquérant des autorisations pour utiliser les services d'accessibilité, qui jouent un rôle crucial dans le processus d'infection. En exploitant ces autorisations, le logiciel espion accède aux contacts, aux SMS, aux journaux d'appels, au stockage de l'appareil externe et aux données de localisation GPS précises de la victime.
Notamment, le logiciel malveillant peut également interagir avec d'autres applications de chat déjà installées sur l'appareil, en utilisant des intentions et des répertoires spécifiques pour potentiellement extraire également des données de ces applications.
Après avoir collecté les données volées, le logiciel espion les transmet en toute sécurité au serveur de commande et de contrôle (C2) des attaquants via le port 2053. Pour éviter la détection, les données volées sont cryptées à l'aide de RSA, ECB et OAEPPadding, tandis qu'un certificat « letsencrypt » est employés par les attaquants pour contrer les efforts d'interception de données du réseau contre eux.
Les chercheurs de CYFIRMA ont accumulé suffisamment de preuves pour lier les activités de Bahamut à un gouvernement d'État spécifique en Inde, établissant des similitudes avec un autre groupe menaçant parrainé par l'État indien, le DoNot APT (APT-C-35). L'utilisation partagée des autorités de certification, les méthodologies de vol de données et la portée cible indiquent fortement une collaboration étroite entre les deux groupes.
