A SafeChat Mobile Malware a mobil IM-szolgáltatásokat célozza meg

Hackereket azonosítottak egy megtévesztő Android-üzenetküldő alkalmazás, a SafeChat segítségével, hogy gyanútlan célpontok ellen kémkedjenek. A rosszindulatú alkalmazás, amelyről úgy gondolják, hogy a Bahamut néven ismert indiai APT hackercsoporthoz köthető, olyan népszerű kommunikációs platformokra összpontosít, mint a Signal és a WhatsApp, és olyan érzékeny információkat nyer ki a feltört okostelefonokból, mint a hívásnaplók, üzenetek és GPS-helyek.

Ez a kifinomult hackerkampány aggodalmakat keltett a kommunikációs alkalmazások felhasználóiban. A SafeChat-be ágyazott kémprogramok, amelyekről feltételezik, hogy a "Coverlm" egy változata, kifejezetten olyan üzenetküldő szolgáltatásokat céloznak meg, mint a Telegram, a Signal, a WhatsApp, a Viber és a Facebook Messenger, lehetővé téve a hackerek számára a sebezhetőségek kihasználását és értékes felhasználói adatok megszerzését.

A Bahamut legutóbbi támadásai főként a WhatsApp-on keresztül küldött adathalász üzeneteken alapulnak. Ezek az üzenetek a rosszindulatú rakományok kézbesítési mechanizmusaként működnek, lehetővé téve a kémprogramok számára, hogy zökkenőmentesen behatoljanak a felhasználók eszközeire. Az áldozatokat a SafeChat telepítésére csábítják a biztonságosabb platformra való átállás leple alatt, és áldozatul esnek a megtévesztő felületnek és regisztrációs folyamatnak.

A SafeChat túl sok engedélyt kap

A valódi megjelenés érdekében a SafeChat social engineering taktikákat alkalmaz, elnyerve az áldozat bizalmát, miközben engedélyt szerez az akadálymentesítési szolgáltatások használatára, amelyek kulcsfontosságú szerepet játszanak a fertőzési folyamatban. Ezen engedélyek kihasználásával a kémprogram hozzáfér az áldozat névjegyeihez, SMS-eihez, hívásnaplóihoz, külső eszköztárához és pontos GPS-helyadatokhoz.

Nevezetesen, a rosszindulatú program kölcsönhatásba léphet más, az eszközre már telepített csevegőalkalmazásokkal is, szándékokat és konkrét könyvtárakat használva potenciálisan ezekből az alkalmazásokból is adatokat nyerhet ki.

Az ellopott adatok összegyűjtése után a spyware biztonságosan továbbítja azokat a támadók Command and Control (C2) szerverére a 2053-as porton keresztül. Az észlelés elkerülése érdekében az ellopott adatokat RSA, ECB és OAEPPadding segítségével titkosítják, míg a "letsencrypt" tanúsítványt a támadók az ellenük irányuló hálózati adatlehallgatási erőfeszítések ellen alkalmazzák.

A CYFIRMA kutatói elegendő bizonyítékot gyűjtöttek össze ahhoz, hogy Bahamut tevékenységét egy bizonyos indiai állami kormányzathoz kössék, és hasonlóságokat vonjanak le egy másik indiai állam által támogatott fenyegető csoporttal, a DoNot APT-vel (APT-C-35). A tanúsító hatóságok közös használata, az adatlopási módszerek és a célterület erősen jelzi a két csoport közötti szoros együttműködést.