SafeChat Mobile Malware richt zich op mobiele IM-services
Er zijn hackers geïdentificeerd die een misleidende Android-berichtenapp, SafeChat genaamd, gebruiken om nietsvermoedende doelen te bespioneren. De kwaadaardige app, vermoedelijk geassocieerd met de Indiase APT-hackgroep die bekend staat als Bahamut, richt zich op populaire communicatieplatforms zoals Signal en WhatsApp en haalt gevoelige informatie zoals oproeplogboeken, berichten en GPS-locaties uit gecompromitteerde smartphones.
Deze geavanceerde hackcampagne heeft geleid tot bezorgdheid bij gebruikers van communicatietoepassingen. De spyware die is ingebed in SafeChat, vermoedelijk een variant van "Coverlm", is specifiek gericht op berichtenservices zoals Telegram, Signal, WhatsApp, Viber en Facebook Messenger, waardoor de hackers kwetsbaarheden kunnen misbruiken en waardevolle gebruikersgegevens kunnen verkrijgen.
De recente aanvallen van Bahamut zijn voornamelijk gebaseerd op spear phishing-berichten die via WhatsApp worden verzonden. Deze berichten fungeren als een bezorgmechanisme voor de kwaadaardige payloads, waardoor de spyware naadloos de apparaten van gebruikers kan infiltreren. Slachtoffers worden verleid om SafeChat te installeren onder het mom van overstappen naar een veiliger platform, waarbij ze ten prooi vallen aan de misleidende interface en het registratieproces.
SafeChat verkrijgt buitensporige machtigingen
Om echt over te komen, maakt SafeChat gebruik van social engineering-tactieken, waarmee het vertrouwen van het slachtoffer wordt gewonnen en toestemming wordt verkregen om de toegankelijkheidsservices te gebruiken, die een cruciale rol spelen in het infectieproces. Door deze machtigingen te misbruiken, krijgt de spyware toegang tot de contacten, sms, oproeplogboeken, externe apparaatopslag en nauwkeurige GPS-locatiegegevens van het slachtoffer.
De malware kan met name ook interageren met andere chat-applicaties die al op het apparaat zijn geïnstalleerd, met behulp van intenties en specifieke mappen om mogelijk ook gegevens uit deze apps te extraheren.
Nadat de gestolen gegevens zijn verzameld, verzendt de spyware deze veilig naar de Command and Control-server (C2) van de aanvallers via poort 2053. Om detectie te voorkomen, worden de gestolen gegevens versleuteld met RSA, ECB en OAEPPadding, terwijl een "letsencrypt"-certificaat wordt die door de aanvallers worden gebruikt om pogingen tot onderschepping van netwerkgegevens tegen hen tegen te gaan.
Onderzoekers van CYFIRMA hebben genoeg bewijs verzameld om de activiteiten van Bahamut in verband te brengen met een specifieke deelstaatregering in India, wat overeenkomsten vertoont met een andere door de Indiase staat gesponsorde dreigingsgroep, de DoNot APT (APT-C-35). Het gedeelde gebruik van certificeringsinstanties, methodologieën voor het stelen van gegevens en het doelbereik wijzen sterk op een nauwe samenwerking tussen de twee groepen.
