モバイル IM サービスを標的とした SafeChat モバイル マルウェア

ハッカーは、SafeChat と呼ばれる欺瞞的な Android メッセージング アプリを使用して、疑いを持たないターゲットに対してスパイ活動を行っていることが確認されています。この悪意のあるアプリは、Bahamut として知られるインドの APT ハッキング グループに関連していると考えられており、Signal や WhatsApp などの一般的な通信プラットフォームに焦点を当て、侵害されたスマートフォンから通話記録、メッセージ、GPS 位置情報などの機密情報を抽出します。

この高度なハッキング活動により、通信アプリケーションのユーザーの間で懸念が生じています。 「Coverlm」の亜種とみられるこのSafeChatに埋め込まれたスパイウェアは、特にTelegram、Signal、WhatsApp、Viber、Facebook Messengerなどのメッセージングサービスをターゲットにしており、ハッカーが脆弱性を悪用して貴重なユーザーデータを入手できるようにしている。

Bahamut の最近の攻撃は主に、WhatsApp を通じて送信されるスピア フィッシング メッセージに依存しています。これらのメッセージは悪意のあるペイロードの配信メカニズムとして機能し、スパイウェアがユーザーのデバイスにシームレスに侵入できるようにします。被害者は、より安全なプラットフォームへの移行を装って SafeChat をインストールするように誘惑され、その欺瞞的なインターフェイスと登録プロセスの餌食になります。

SafeChat が過剰な権限を取得する

本物であるように見せるために、SafeChat はソーシャル エンジニアリング戦術を採用し、感染プロセスで重要な役割を果たすアクセシビリティ サービスの使用許可を取得しながら、被害者の信頼を獲得します。これらの権限を悪用することで、スパイウェアは被害者の連絡先、SMS、通話記録、外部デバイスのストレージ、および正確な GPS 位置データにアクセスできるようになります。

特に、マルウェアは、インテントと特定のディレクトリを使用して、デバイスにすでにインストールされている他のチャット アプリケーションと対話し、これらのアプリからもデータを抽出する可能性があります。

スパイウェアは盗んだデータを収集した後、ポート 2053 経由で攻撃者のコマンド＆コントロール (C2) サーバーに安全に送信します。検出を避けるために、盗まれたデータは RSA、ECB、OAEPPadding を使用して暗号化され、「letsencrypt」証明書は暗号化されます。攻撃者に対するネットワーク データ傍受の試みに対抗するために攻撃者によって使用されます。

CYFIRMA の研究者は、バハムートの活動をインドの特定の州政府と結び付ける十分な証拠を蓄積しており、インドの国家支援による別の脅威グループである DoNot APT (APT-C-35) との類似点を示しています。認証局、データ窃取手法、ターゲット範囲の共有使用は、2 つのグループ間の緊密な連携を強く示しています。