SafeChat Mobile Malware retter seg mot mobile IM-tjenester
Hackere har blitt identifisert ved å bruke en villedende Android-meldingsapp, referert til som SafeChat, for å drive spionasje mot intetanende mål. Den ondsinnede appen, som antas å være assosiert med den indiske APT-hackinggruppen kjent som Bahamut, fokuserer på populære kommunikasjonsplattformer som Signal og WhatsApp, og trekker ut sensitiv informasjon som anropslogger, meldinger og GPS-plasseringer fra kompromitterte smarttelefoner.
Denne sofistikerte hacking-kampanjen har vakt bekymring blant brukere av kommunikasjonsapplikasjoner. Spionvaren innebygd i SafeChat, mistenkt for å være en variant av "Coverlm", retter seg spesifikt mot meldingstjenester som Telegram, Signal, WhatsApp, Viber og Facebook Messenger, som gjør det mulig for hackerne å utnytte sårbarheter og skaffe verdifull brukerdata.
Bahamuts nylige angrep er hovedsakelig avhengige av spear phishing-meldinger sendt gjennom WhatsApp. Disse meldingene fungerer som en leveringsmekanisme for de ondsinnede nyttelastene, og lar spionprogramvaren infiltrere brukernes enheter sømløst. Ofre blir lokket til å installere SafeChat under dekke av overgang til en sikrere plattform, og blir offer for det villedende grensesnittet og registreringsprosessen.
SafeChat får for mange tillatelser
For å fremstå som ekte, bruker SafeChat sosiale ingeniør-taktikker, og oppnår offerets tillit samtidig som de får tillatelser til å bruke tilgjengelighetstjenestene, som spiller en avgjørende rolle i infeksjonsprosessen. Ved å utnytte disse tillatelsene får spyware tilgang til offerets kontakter, SMS, anropslogger, ekstern enhetslagring og nøyaktige GPS-posisjonsdata.
Spesielt kan skadelig programvare også samhandle med andre chat-applikasjoner som allerede er installert på enheten, ved å bruke hensikter og spesifikke kataloger for potensielt å trekke ut data fra disse appene også.
Etter å ha samlet de stjålne dataene, sender spionvaren dem sikkert til angripernes Command and Control-server (C2) via port 2053. For å unngå oppdagelse krypteres de stjålne dataene ved hjelp av RSA, ECB og OAEPPadding, mens et "letsencrypt"-sertifikat er ansatt av angriperne for å motvirke nettverksdataavskjæringstiltak mot dem.
Forskere fra CYFIRMA har samlet nok bevis til å knytte Bahamuts aktiviteter til en spesifikk delstatsregjering i India, og trekker likheter med en annen indisk statsstøttet trusselgruppe, DoNot APT (APT-C-35). Delt bruk av sertifikatmyndigheter, metoder for datatyveri og målomfang indikerer sterkt et nært samarbeid mellom de to gruppene.
