Вредоносное ПО SafeChat Mobile нацелено на мобильные службы обмена мгновенными сообщениями

Хакеры были идентифицированы с помощью вводящего в заблуждение приложения для обмена сообщениями Android, называемого SafeChat, для шпионажа за ничего не подозревающими целями. Вредоносное приложение, которое, как полагают, связано с индийской хакерской группой APT, известной как Bahamut, ориентировано на популярные коммуникационные платформы, такие как Signal и WhatsApp, извлекая конфиденциальную информацию, такую как журналы вызовов, сообщения и местоположения GPS, со взломанных смартфонов.

Эта изощренная хакерская кампания вызвала обеспокоенность у пользователей коммуникационных приложений. Шпионское ПО, встроенное в SafeChat, которое, как предполагается, является вариантом «Coverlm», специально нацелено на службы обмена сообщениями, такие как Telegram, Signal, WhatsApp, Viber и Facebook Messenger, что позволяет хакерам использовать уязвимости и получать ценные пользовательские данные.

Недавние атаки Bahamut в основном основаны на целевых фишинговых сообщениях, отправляемых через WhatsApp. Эти сообщения действуют как механизм доставки вредоносных полезных нагрузок, позволяя шпионскому ПО беспрепятственно проникать на устройства пользователей. Жертв заманивают устанавливать SafeChat под предлогом перехода на более безопасную платформу, становясь жертвами обманчивого интерфейса и процесса регистрации.

SafeChat получает чрезмерные разрешения

Чтобы казаться подлинным, SafeChat использует тактику социальной инженерии, завоевывая доверие жертвы и получая при этом разрешения на использование служб специальных возможностей, которые играют решающую роль в процессе заражения. Используя эти разрешения, шпионское ПО получает доступ к контактам жертвы, SMS, журналам вызовов, внешнему хранилищу устройств и точным данным GPS о местоположении.

Примечательно, что вредоносное ПО также может взаимодействовать с другими чат-приложениями, уже установленными на устройстве, используя намерения и определенные каталоги для потенциального извлечения данных из этих приложений.

После сбора украденных данных шпионское ПО безопасно передает их на сервер управления и контроля (C2) злоумышленников через порт 2053. Чтобы избежать обнаружения, украденные данные шифруются с использованием RSA, ECB и OAEPPadding, а сертификат «letsencrypt» используемые злоумышленниками для противодействия усилиям по перехвату сетевых данных против них.

Исследователи из CYFIRMA накопили достаточно доказательств, чтобы связать деятельность Бахамута с правительством конкретного штата в Индии, проведя сходство с другой спонсируемой государством группой угроз, DoNot APT (APT-C-35). Совместное использование центров сертификации, методологий кражи данных и целевой области убедительно указывает на тесное сотрудничество между двумя группами.