SafeChat 移動惡意軟件瞄準移動 IM 服務
黑客已被發現使用一種名為 SafeChat 的欺騙性 Android 消息應用程序對毫無戒心的目標進行間諜活動。該惡意應用程序據信與名為 Bahamut 的印度 APT 黑客組織有關,主要針對 Signal 和 WhatsApp 等流行通信平台,從受感染的智能手機中提取通話記錄、消息和 GPS 位置等敏感信息。
這種複雜的黑客活動引起了通信應用程序用戶的擔憂。 SafeChat 中嵌入的間諜軟件被懷疑是“Coverlm”的變種,專門針對 Telegram、Signal、WhatsApp、Viber 和 Facebook Messenger 等消息服務,使黑客能夠利用漏洞並獲取有價值的用戶數據。
Bahamut最近的攻擊主要依靠通過WhatsApp發送的魚叉式網絡釣魚消息。這些消息充當惡意負載的傳遞機制,使間諜軟件能夠無縫滲透用戶的設備。受害者以過渡到更安全的平台為幌子,被引誘安裝 SafeChat,從而成為其欺騙性界面和註冊過程的犧牲品。
SafeChat獲取過多權限
為了顯得真實,SafeChat 採用社會工程策略,獲得受害者的信任,同時獲得使用輔助服務的權限,這在感染過程中發揮著至關重要的作用。通過利用這些權限,間諜軟件可以訪問受害者的聯繫人、短信、通話記錄、外部設備存儲和精確的 GPS 位置數據。
值得注意的是,惡意軟件還可以與設備上已安裝的其他聊天應用程序進行交互,使用意圖和特定目錄也可能從這些應用程序中提取數據。
收集被盜數據後,間諜軟件通過端口 2053 將其安全地傳輸到攻擊者的命令和控制 (C2) 服務器。為了避免檢測,被盜數據使用 RSA、ECB 和 OAEPPadding 進行加密,同時使用“letcrypt”證書攻擊者用來對抗針對他們的網絡數據攔截工作。
CYFIRMA 的研究人員已經積累了足夠的證據,將巴哈姆特的活動與印度的特定州政府聯繫起來,與另一個印度國家支持的威脅組織 DoNot APT (APT-C-35) 相似。證書頒發機構、數據竊取方法和目標範圍的共享使用強烈表明兩個組織之間的密切合作。
