Hackers estão usando um falso aplicativo Android chamado 'SafeChat' para infectar dispositivos com malware espião que rouba registros de chamadas, textos e localizações GPS de telefones.
O spyware Android é suspeito de ser uma variante do "CoverIm", que rouba dados de aplicativos de comunicação, como Telegram, Signal, WhatsApp, Viber e Facebook Messenger.
Pesquisadores da CYFIRMA afirmam que o grupo de hackers APT indiano 'Bahamut' está por trás da campanha, com seus últimos ataques realizados principalmente através de mensagens de phishing direcionado no WhatsApp que enviam os payloads maliciosos diretamente para a vítima.
Além disso, os analistas da CYFIRMA destacam várias semelhanças de TTP com outro grupo de ameaças patrocinado pelo estado indiano, o 'DoNot APT' (APT-C-35), que anteriormente infestou a Google Play com falsos aplicativos de chat atuando como spyware.
No final do ano passado, o ESET relatou que o grupo Bahamut estava usando falsos aplicativos VPN para a plataforma Android que incluíam extensas funções de spyware.
Na última campanha observada pela CYFIRMA, o Bahamut tem como alvo indivíduos na Ásia do Sul.
Embora a CYFIRMA não entre em detalhes sobre o aspecto de engenharia social do ataque, é comum que as vítimas sejam persuadidas a instalar um aplicativo de chat sob o pretexto de transferir a conversa para uma plataforma mais segura.
Os analistas relatam que o SafeChat possui uma interface enganosa que o faz parecer um aplicativo de chat real e também leva a vítima por um processo de registro de usuário aparentemente legítimo que adiciona credibilidade e serve como uma excelente cobertura para o spyware.
Uma etapa crítica da infecção é a aquisição de permissões para usar os Serviços de Acessibilidade, que posteriormente são abusados para conceder automaticamente ao spyware mais permissões.
Essas permissões adicionais permitem que o spyware tenha acesso à lista de contatos da vítima, SMS, registros de chamadas, armazenamento do dispositivo externo e obtenha dados precisos de localização GPS do dispositivo infectado.
O aplicativo também solicita que o usuário aprove a exclusão do subsistema de otimização de bateria do Android, que encerra processos em segundo plano quando o usuário não está interagindo ativamente com o aplicativo.
"Outro trecho do arquivo Android Manifest mostra que o ator da ameaça projetou o aplicativo para interagir com outros aplicativos de chat já instalados", explica CYFIRMA.
"A interação ocorrerá usando intenções, a permissão OPEN_DOCUMENT_TREE selecionará diretórios específicos e acessará os aplicativos mencionados na intenção."
Um módulo de exfiltração de dados dedicado transfere informações do dispositivo para o servidor C2 do invasor através da porta 2053.
Os dados roubados são criptografados usando outro módulo que suporta RSA, ECB e OAEPPadding.
Ao mesmo tempo, os invasores também usam um certificado "letsencrypt" para evitar qualquer esforço de interceptação de dados da rede contra eles.
CYFIRMA conclui o relatório afirmando que possui provas suficientes para vincular o Bahamut a trabalhar em nome de um governo estadual específico na Índia.
Além disso, usando a mesma autoridade certificadora que o grupo DoNot APT, metodologias de roubo de dados semelhantes, escopo de direcionamento comum e o uso de aplicativos Android para infectar alvos indicam sobreposição ou colaboração próxima entre os dois grupos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...