O malware móvel SafeChat tem como alvo os serviços móveis de mensagens instantâneas
Os hackers foram identificados usando um aplicativo de mensagens Android enganoso, conhecido como SafeChat, para realizar espionagem em alvos inocentes. O aplicativo malicioso, que se acredita estar associado ao grupo de hackers indiano APT conhecido como Bahamut, concentra-se em plataformas de comunicação populares como Signal e WhatsApp, extraindo informações confidenciais, como registros de chamadas, mensagens e localizações de GPS de smartphones comprometidos.
Essa sofisticada campanha de hacking levantou preocupações entre os usuários de aplicativos de comunicação. O spyware embutido no SafeChat, suspeito de ser uma variante do "Coverlm", visa especificamente serviços de mensagens como Telegram, Signal, WhatsApp, Viber e Facebook Messenger, permitindo que os hackers explorem vulnerabilidades e obtenham dados valiosos do usuário.
Os ataques recentes de Bahamut dependem principalmente de mensagens de spear phishing enviadas pelo WhatsApp. Essas mensagens agem como um mecanismo de entrega para cargas maliciosas, permitindo que o spyware se infiltre facilmente nos dispositivos dos usuários. As vítimas são induzidas a instalar o SafeChat sob o pretexto de fazer a transição para uma plataforma mais segura, tornando-se vítimas de sua interface e processo de registro enganosos.
SafeChat obtém permissões excessivas
Para parecer genuíno, o SafeChat emprega táticas de engenharia social, ganhando a confiança da vítima enquanto adquire permissões para usar os Serviços de Acessibilidade, que desempenham um papel crucial no processo de infecção. Ao explorar essas permissões, o spyware obtém acesso aos contatos, SMS, registros de chamadas, armazenamento de dispositivos externos e dados precisos de localização GPS da vítima.
Notavelmente, o malware também pode interagir com outros aplicativos de bate-papo já instalados no dispositivo, usando intenções e diretórios específicos para potencialmente extrair dados desses aplicativos também.
Depois de coletar os dados roubados, o spyware os transmite com segurança para o servidor de Comando e Controle (C2) dos invasores via porta 2053. Para evitar a detecção, os dados roubados são criptografados usando RSA, ECB e OAEPPadding, enquanto um certificado "letsencrypt" é empregados pelos invasores para combater os esforços de interceptação de dados da rede contra eles.
Pesquisadores da CYFIRMA acumularam evidências suficientes para vincular as atividades de Bahamut a um governo estadual específico na Índia, traçando semelhanças com outro grupo de ameaças patrocinado pelo estado indiano, o DoNot APT (APT-C-35). O uso compartilhado de autoridades de certificação, metodologias de roubo de dados e escopo de destino indica fortemente uma colaboração próxima entre os dois grupos.
