Falešná aplikace „SafeChat“ pro Android slouží jako krytí pro spyware

Zpět na blog

Hackeři používají falešnou aplikaci pro Android s názvem SafeChat k infikování zařízení spywarem, který z telefonů krade záznamy hovorů, textové zprávy a polohu GPS. Předpokládá se, že tento spyware pro Android je variantou softwaru Coverlm, který krade data z komunikačních aplikací, jako jsou Telegram, Signal, WhatsApp, Viber a Facebook Messenger.

Na základě výzkumu společnosti CYFIRMA, se zdá, že za touto kampaní stojí indická hackerská skupina APT zvaná Bahamut. Tato skupina je známa především svými útoky prostřednictvím spear phishingových zpráv v aplikaci WhatsApp, kterými odesílají škodlivý obsah přímo obětem.

Analýza ukazuje několik podobností v taktikách, technikách a postupech s další indickou hackerskou skupinou sponzorovanou státem, DoNot APT (APT-C-35). Tato skupina byla v minulosti spojena se zamořením Google Play falešnými chatovacími aplikacemi fungujícími jako spyware. V minulém roce společnost ESET informovala, že skupina Bahamut používá falešné VPN aplikace pro platformu Android, které obsahují spyware. V nejnovější kampani identifikované společností CYFIRMA se Bahamut zaměřuje na cíle v jižní Asii.

Technické podrobnosti ohledně aplikace SafeChat

Bezpečnostní výzkumníci uvádějí, že SafeChat má klamavé uživatelské rozhraní, které na první pohled vypadá jako skutečná chatovací aplikace. K navýšení důvěryhodnosti aplikace provádí oběť přes proces registrace, který se jeví jako legitimní. Klíčovou roli v procesu infekce hraje získání přístupových oprávnění k službám zpřístupnění, které jsou následně zneužity k automatickému udělení dalších oprávnění spywaru.

To poskytuje spywaru přístup k seznamu kontaktů, SMS zprávám, protokolům hovorů, externímu úložišti a k přesným GPS datům z infikovaného zařízení. Zajímavé je také to, že aplikace požaduje, aby uživatel schválil vyloučení ze subsystému optimalizace baterie systému Android, který normálně ukončuje procesy na pozadí, pokud uživatel aplikaci aktivně nepoužívá.

Podle informací z CYFIRMA soubor manifestu systému Android naznačuje, že pachatelé navrhli aplikaci tak, aby byla kompatibilní s jinými již nainstalovanými chatovacími aplikacemi.

Zajímavý je také modul pro exfiltraci dat, který přenáší ukradené informace na útočníkův C2 server prostřednictvím portu 2053. Tato data jsou následně šifrována pomocí dalšího modulu, který podporuje RSA, ECB a OAEPPadding. Útočníci používají certifikát „letsencrypt“, aby ztížili snahy o zachycení síťových dat.

V závěru zprávy CYFIRMA uvádí, že má dostatek důkazů spojujících skupinu Bahamut s vládními aktivitami v Indii. Vše nasvědčuje tomu, že skupina DoNot APT a Bahamut spolupracují nebo se alespoň částečně překrývají, což je patrné z použití stejné certifikační autority, podobných metodik krádeží dat a shodných cílů útoků.

Zdroj: Bleepingcomputer.com

Zdroj ilustračního obrázku: Pathum Danthanarayana on Unsplash

7. 8. 2023