SafeChat Mobile-Malware

Es wurde festgestellt, dass Hacker eine betrügerische Android-Anwendung namens „SafeChat“ verwenden, um Geräte mit Spyware-Malware zu infizieren. Diese Schadsoftware zielt darauf ab, vertrauliche Informationen von Telefonen zu stehlen, darunter Anrufprotokolle, Textnachrichten und GPS-Standorte.

Es wird vermutet, dass es sich bei der Android-Spyware um eine Variante der berüchtigten Malware „Coverlm“ handelt, die für ihre Fähigkeit bekannt ist, Daten aus verschiedenen Kommunikations-Apps zu stehlen. Zu den Zielanwendungen gehören beliebte Plattformen wie Telegram, Signal, WhatsApp, Viber und Facebook Messenger.

Es wird vermutet, dass die indische APT-Hackergruppe namens „Bahamut “ hinter dieser Kampagne steckt. Sie wurden als Täter der jüngsten Angriffe identifiziert, bei denen es sich vor allem um über WhatsApp verbreitete Spear-Phishing-Nachrichten handelte. Diese Nachrichten enthalten bedrohliche Nutzlasten, die direkt an die Geräte der Opfer übermittelt werden. Die Hauptziele dieser Bahamut-Kampagne sind Nutzer in Südasien.

Die SafeChat-Malware tarnt sich als legitime Messaging-Anwendung

Eine gängige Taktik von Angreifern besteht darin, die Opfer zur Installation einer Chat-Anwendung zu überreden und zu behaupten, dass diese ihnen eine sicherere Kommunikationsplattform bieten würde. Laut Infosec-Experten verwendet die als Safe Chat getarnte Spyware eine betrügerische Benutzeroberfläche, die eine echte Chat-App nachahmt. Darüber hinaus führt es das Opfer durch einen scheinbar legitimen Benutzerregistrierungsprozess, erhöht die Glaubwürdigkeit und dient als perfekte Tarnung für die böswilligen Aktivitäten der Spyware.

Ein entscheidender Schritt im Infektionsprozess besteht darin, wichtige Berechtigungen einzuholen, beispielsweise die Möglichkeit, Barrierefreiheitsdienste zu nutzen. Diese Berechtigungen werden dann missbraucht, um der Spyware automatisch weiteren Zugriff auf sensible Daten zu gewähren. Genauer gesagt erhält die Spyware Zugriff auf die Kontaktliste, SMS-Nachrichten, Anrufprotokolle und den externen Gerätespeicher des Opfers und kann genaue GPS-Standortdaten vom kompromittierten Gerät abrufen.

Darüber hinaus enthüllen Ausschnitte aus der Android-Manifestdatei, dass der Bedrohungsakteur hinter der Spyware sie so konzipiert hat, dass sie mit anderen bereits installierten Chat-Anwendungen interagiert. Die Interaktion erfolgt durch die Verwendung von Absichten, und die OPEN_DOCUMENT_TREE-Berechtigung ermöglicht es der Spyware, bestimmte Verzeichnisse auszuwählen und auf die in der Absicht genannten Apps zuzugreifen.

Um die vom infizierten Gerät gesammelten Daten zu exfiltrieren, verwendet die Spyware ein spezielles Datenexfiltrationsmodul. Die Informationen werden dann über Port 2053 an den Command-and-Control-Server (C2) des Angreifers übertragen. Um die Vertraulichkeit der herausgefilterten Informationen während der Übertragung sicherzustellen, nutzt die Spyware eine Verschlüsselung, die durch ein anderes Modul ermöglicht wird, das RSA, ECB und OAEPPadding unterstützt. Darüber hinaus nutzen die Angreifer ein „Lets Encrypt“-Zertifikat, um jeglichen Abhörversuchen von Netzwerkdaten gegen sie zu entgehen.

Verbindungen zu anderen Cybercrime-Gruppen

In der SafeChat-Angriffskampagne wurden mehrere Taktiken, Techniken und Verfahren (TTPs) identifiziert, die eine bemerkenswerte Ähnlichkeit mit einer anderen staatlich geförderten indischen Bedrohungsgruppe namens „DoNot APT“ (APT-C-35) aufweisen. Insbesondere war „DoNot APT“ zuvor daran beteiligt, Google Play mit gefälschten Chat-Apps zu infiltrieren, die als Spyware fungieren. Zu den Gemeinsamkeiten zwischen den beiden Hackergruppen gehören die Verwendung derselben Zertifizierungsstelle, ähnliche Datendiebstahlmethoden, ein gemeinsamer Zielbereich und die Verwendung von Android-Apps zur Infektion ihrer beabsichtigten Ziele.

Diese beobachteten Parallelen deuten stark auf eine mögliche Überschneidung oder enge Zusammenarbeit zwischen den beiden Bedrohungsgruppen hin. Darüber hinaus können die Ähnlichkeit der Datendiebstahltechniken und der gemeinsame Fokus auf ein gemeinsames Ziel oder einen gemeinsamen Zweck ihrer Angriffe hinweisen.

Die Tatsache, dass beide Gruppen Android-Apps als Mittel zur Infiltration eingesetzt haben, stärkt die Vorstellung einer möglichen Zusammenarbeit oder eines Wissensaustauschs zusätzlich. Es ist von entscheidender Bedeutung, diese Anzeichen einer Zusammenarbeit ernst zu nehmen, da sie auf eine potenzielle Steigerung der Komplexität und Komplexität der von diesen staatlich geförderten Gruppen gestarteten Angriffe hinweisen.