Il malware mobile di SafeChat prende di mira i servizi di messaggistica istantanea mobile
Gli hacker sono stati identificati utilizzando un'app di messaggistica Android ingannevole, denominata SafeChat, per condurre spionaggio su obiettivi ignari. L'app dannosa, ritenuta associata al gruppo di hacking APT indiano noto come Bahamut, si concentra su piattaforme di comunicazione popolari come Signal e WhatsApp, estraendo informazioni sensibili come registri delle chiamate, messaggi e posizioni GPS da smartphone compromessi.
Questa sofisticata campagna di hacking ha sollevato preoccupazioni tra gli utenti delle applicazioni di comunicazione. Lo spyware incorporato in SafeChat, sospettato di essere una variante di "Coverlm", prende di mira specificamente servizi di messaggistica come Telegram, Signal, WhatsApp, Viber e Facebook Messenger, consentendo agli hacker di sfruttare le vulnerabilità e ottenere preziosi dati degli utenti.
I recenti attacchi di Bahamut si basano principalmente su messaggi di spear phishing inviati tramite WhatsApp. Questi messaggi fungono da meccanismo di consegna per i payload dannosi, consentendo allo spyware di infiltrarsi senza problemi nei dispositivi degli utenti. Le vittime sono indotte a installare SafeChat con il pretesto di passare a una piattaforma più sicura, cadendo preda della sua interfaccia ingannevole e del processo di registrazione.
SafeChat ottiene autorizzazioni eccessive
Per apparire autentico, SafeChat impiega tattiche di ingegneria sociale, guadagnando la fiducia della vittima mentre acquisisce le autorizzazioni per utilizzare i servizi di accessibilità, che svolgono un ruolo cruciale nel processo di infezione. Sfruttando queste autorizzazioni, lo spyware ottiene l'accesso ai contatti, agli SMS, ai registri delle chiamate, all'archiviazione del dispositivo esterno e ai dati precisi sulla posizione GPS della vittima.
In particolare, il malware può anche interagire con altre applicazioni di chat già installate sul dispositivo, utilizzando intent e directory specifiche per estrarre potenzialmente dati anche da queste app.
Dopo aver raccolto i dati rubati, lo spyware li trasmette in modo sicuro al server di comando e controllo (C2) degli aggressori tramite la porta 2053. Per evitare il rilevamento, i dati rubati vengono crittografati utilizzando RSA, ECB e OAEPPadding, mentre un certificato "letsencrypt" viene impiegati dagli aggressori per contrastare gli sforzi di intercettazione dei dati di rete contro di loro.
I ricercatori di CYFIRMA hanno accumulato prove sufficienti per collegare le attività di Bahamut a uno specifico governo statale in India, tracciando somiglianze con un altro gruppo di minaccia sponsorizzato dallo stato indiano, il DoNot APT (APT-C-35). L'uso condiviso delle autorità di certificazione, le metodologie di furto di dati e l'ambito di destinazione indicano fortemente una stretta collaborazione tra i due gruppi.
