„SafeChat Mobile“ kenkėjiška programa yra skirta mobiliosioms MP paslaugoms

Nustatyti įsilaužėliai, naudojantys apgaulingą „Android“ susirašinėjimo programą, vadinamą „SafeChat“, kad šnipinėtų nieko neįtariančius taikinius. Kenkėjiška programėlė, kuri, kaip manoma, yra susijusi su Indijos APT įsilaužimo grupe, žinoma kaip Bahamut, daugiausia dėmesio skiria populiarioms komunikacijos platformoms, tokioms kaip „Signal“ ir „WhatsApp“, išskleisdama slaptą informaciją, pvz., skambučių žurnalus, pranešimus ir GPS vietas iš pažeistų išmaniųjų telefonų.

Ši sudėtinga įsilaužimo kampanija sukėlė komunikacijos programų naudotojų susirūpinimą. Į „SafeChat“ įterpta šnipinėjimo programa, kaip įtariama, yra „Coverlm“ variantas, konkrečiai nukreipta į susirašinėjimo paslaugas, tokias kaip „Telegram“, „Signal“, „WhatsApp“, „Viber“ ir „Facebook Messenger“, leidžiančią įsilaužėliams išnaudoti pažeidžiamumą ir gauti vertingų vartotojų duomenų.

Pastarieji Bahamut išpuoliai daugiausia priklauso nuo sukčiavimo pranešimų, siunčiamų per WhatsApp. Šie pranešimai veikia kaip kenkėjiškų naudingų krovinių pristatymo mechanizmas, leidžiantis šnipinėjimo programoms sklandžiai įsiskverbti į vartotojų įrenginius. Aukos yra viliojamos įdiegti „SafeChat“, prisidengiant perėjimu prie saugesnės platformos, ir tampa jos apgaulingos sąsajos ir registracijos proceso aukomis.

„SafeChat“ gauna per daug leidimų

Kad atrodytų tikra, „SafeChat“ naudoja socialinės inžinerijos taktiką, įgydama aukos pasitikėjimą ir įgydama leidimus naudotis pritaikymo neįgaliesiems paslaugomis, kurios atlieka esminį vaidmenį užsikrėtimo procese. Išnaudodama šiuos leidimus, šnipinėjimo programa gauna prieigą prie aukos kontaktų, SMS, skambučių žurnalų, išorinio įrenginio saugyklos ir tikslių GPS vietos duomenų.

Pažymėtina, kad kenkėjiška programa taip pat gali sąveikauti su kitomis įrenginyje jau įdiegtomis pokalbių programomis, naudodama ketinimus ir konkrečius katalogus, kad galėtų išgauti duomenis iš šių programų.

Surinkus pavogtus duomenis, šnipinėjimo programa saugiai perduoda juos į užpuolikų komandų ir valdymo (C2) serverį per prievadą 2053. Kad būtų išvengta aptikimo, pavogti duomenys užšifruojami naudojant RSA, ECB ir OAEPPadding, o „letsencrypt“ sertifikatas užpuolikai naudojasi siekiant atremti tinklo duomenų perėmimo pastangas prieš juos.

Tyrėjai iš CYFIRMA sukaupė pakankamai įrodymų, kad Bahamuto veikla būtų susieta su konkrečia Indijos valstijos vyriausybe, panašiai kaip su kita Indijos valstybės remiama grėsmių grupe DoNot APT (APT-C-35). Bendras sertifikatų institucijų naudojimas, duomenų vagystės metodikos ir tikslinė apimtis aiškiai rodo glaudų abiejų grupių bendradarbiavimą.