SafeChat Mobile Malware atakuje mobilne usługi IM

Hakerzy zostali zidentyfikowani za pomocą oszukańczej aplikacji do przesyłania wiadomości na Androida, zwanej SafeChat, w celu szpiegowania niczego niepodejrzewających celów. Złośliwa aplikacja, która prawdopodobnie jest powiązana z indyjską grupą hakerską APT znaną jako Bahamut, koncentruje się na popularnych platformach komunikacyjnych, takich jak Signal i WhatsApp, wydobywając poufne informacje, takie jak dzienniki połączeń, wiadomości i lokalizacje GPS ze zhakowanych smartfonów.

Ta wyrafinowana kampania hakerska wzbudziła obawy wśród użytkowników aplikacji komunikacyjnych. Oprogramowanie szpiegowskie wbudowane w SafeChat, podejrzewane o to, że jest wariantem „Coverlm”, atakuje w szczególności usługi przesyłania wiadomości, takie jak Telegram, Signal, WhatsApp, Viber i Facebook Messenger, umożliwiając hakerom wykorzystanie luk w zabezpieczeniach i uzyskanie cennych danych użytkownika.

Ostatnie ataki Bahamuta opierają się głównie na wiadomościach typu spear phishing wysyłanych przez WhatsApp. Wiadomości te działają jako mechanizm dostarczania złośliwych ładunków, umożliwiając oprogramowaniu szpiegowskiemu bezproblemową infiltrację urządzeń użytkowników. Ofiary są nakłaniane do zainstalowania SafeChat pod pozorem przejścia na bezpieczniejszą platformę, padając ofiarą zwodniczego interfejsu i procesu rejestracji.

SafeChat uzyskuje nadmierne uprawnienia

Aby wyglądać na autentyczną, SafeChat stosuje taktykę socjotechniki, zdobywając zaufanie ofiary, jednocześnie uzyskując uprawnienia do korzystania z usług ułatwień dostępu, które odgrywają kluczową rolę w procesie infekcji. Wykorzystując te uprawnienia, oprogramowanie szpiegujące uzyskuje dostęp do kontaktów ofiary, SMS-ów, dzienników połączeń, pamięci urządzenia zewnętrznego i dokładnych danych lokalizacji GPS.

Warto zauważyć, że złośliwe oprogramowanie może również wchodzić w interakcje z innymi aplikacjami do czatu, które są już zainstalowane na urządzeniu, wykorzystując intencje i określone katalogi do potencjalnego wydobywania danych również z tych aplikacji.

Po zebraniu skradzionych danych oprogramowanie szpiegowskie bezpiecznie przesyła je do serwera kontroli i kontroli atakujących (C2) przez port 2053. Aby uniknąć wykrycia, skradzione dane są szyfrowane przy użyciu RSA, ECB i OAEPPadding, a certyfikat „letsencrypt” jest wykorzystywane przez atakujących do przeciwdziałania wymierzonym w nich próbom przechwycenia danych sieciowych.

Badacze z CYFIRMA zgromadzili wystarczającą ilość dowodów, aby powiązać działania Bahamuta z konkretnym rządem stanowym w Indiach, czerpiąc podobieństwa z inną sponsorowaną przez państwo indyjską grupą zagrożeń, DoNot APT (APT-C-35). Wspólne korzystanie z urzędów certyfikacji, metody kradzieży danych i zakres docelowy silnie wskazują na bliską współpracę między tymi dwiema grupami.