SafeChat 移动恶意软件瞄准移动 IM 服务
黑客已被发现使用一种名为 SafeChat 的欺骗性 Android 消息应用程序对毫无戒心的目标进行间谍活动。该恶意应用程序据信与名为 Bahamut 的印度 APT 黑客组织有关,主要针对 Signal 和 WhatsApp 等流行通信平台,从受感染的智能手机中提取通话记录、消息和 GPS 位置等敏感信息。
这种复杂的黑客活动引起了通信应用程序用户的担忧。 SafeChat 中嵌入的间谍软件被怀疑是“Coverlm”的变种,专门针对 Telegram、Signal、WhatsApp、Viber 和 Facebook Messenger 等消息服务,使黑客能够利用漏洞并获取有价值的用户数据。
Bahamut最近的攻击主要依靠通过WhatsApp发送的鱼叉式网络钓鱼消息。这些消息充当恶意负载的传递机制,使间谍软件能够无缝渗透用户的设备。受害者以过渡到更安全的平台为幌子,被引诱安装 SafeChat,从而成为其欺骗性界面和注册过程的牺牲品。
SafeChat获取过多权限
为了显得真实,SafeChat 采用社会工程策略,获得受害者的信任,同时获得使用辅助服务的权限,这在感染过程中发挥着至关重要的作用。通过利用这些权限,间谍软件可以访问受害者的联系人、短信、通话记录、外部设备存储和精确的 GPS 位置数据。
值得注意的是,恶意软件还可以与设备上已安装的其他聊天应用程序进行交互,使用意图和特定目录也可能从这些应用程序中提取数据。
收集被盗数据后,间谍软件通过端口 2053 将其安全地传输到攻击者的命令和控制 (C2) 服务器。为了避免检测,被盗数据使用 RSA、ECB 和 OAEPPadding 进行加密,同时使用“letcrypt”证书攻击者用来对抗针对他们的网络数据拦截工作。
CYFIRMA 的研究人员已经积累了足够的证据,将巴哈姆特的活动与印度的特定州政府联系起来,与另一个印度国家支持的威胁组织 DoNot APT (APT-C-35) 相似。证书颁发机构、数据窃取方法和目标范围的共享使用强烈表明两个组织之间的密切合作。
