SafeChat Mobile Malware riktar sig till mobila IM-tjänster
Hackare har identifierats med hjälp av en vilseledande Android-meddelandeapp, kallad SafeChat, för att spionera mot intet ont anande mål. Den skadliga appen, som tros vara associerad med den indiska APT-hackargruppen känd som Bahamut, fokuserar på populära kommunikationsplattformar som Signal och WhatsApp, och extraherar känslig information som samtalsloggar, meddelanden och GPS-platser från utsatta smartphones.
Denna sofistikerade hackningskampanj har väckt oro bland användare av kommunikationsapplikationer. Spionprogrammet inbäddat i SafeChat, som misstänks vara en variant av "Coverlm", riktar sig specifikt mot meddelandetjänster som Telegram, Signal, WhatsApp, Viber och Facebook Messenger, vilket gör det möjligt för hackare att utnyttja sårbarheter och få värdefull användardata.
Bahamuts senaste attacker bygger främst på spjutfiskemeddelanden som skickas via WhatsApp. Dessa meddelanden fungerar som en leveransmekanism för skadliga nyttolaster, vilket gör att spionprogram kan infiltrera användarnas enheter sömlöst. Offren lockas att installera SafeChat under sken av att övergå till en säkrare plattform, och faller offer för dess vilseledande gränssnitt och registreringsprocess.
SafeChat får överdrivna behörigheter
För att framstå som äkta använder SafeChat sociala ingenjörstaktiker, vinner offrets förtroende samtidigt som de får tillstånd att använda tillgänglighetstjänsterna, som spelar en avgörande roll i infektionsprocessen. Genom att utnyttja dessa behörigheter får spionprogrammet tillgång till offrets kontakter, SMS, samtalsloggar, extern enhetslagring och exakta GPS-platsdata.
Speciellt kan skadlig programvara också interagera med andra chattapplikationer som redan är installerade på enheten, med hjälp av avsikter och specifika kataloger för att potentiellt även extrahera data från dessa appar.
Efter att ha samlat in den stulna informationen överför spionprogrammet den säkert till angriparnas Command and Control (C2)-server via port 2053. För att undvika upptäckt krypteras den stulna informationen med RSA, ECB och OAEPPadding, medan ett "letsencrypt"-certifikat är anställd av angriparna för att motverka nätverksdataavlyssning mot dem.
Forskare från CYFIRMA har samlat tillräckligt med bevis för att koppla Bahamuts aktiviteter till en specifik delstatsregering i Indien, och drar likheter med en annan indisk statssponsrad hotgrupp, DoNot APT (APT-C-35). Den delade användningen av certifikatutfärdare, metoder för datastöld och målomfång tyder starkt på ett nära samarbete mellan de två grupperna.
