Logiciel malveillant SafeChat Mobile

Des pirates ont été découverts en train d'utiliser une application Android trompeuse appelée "SafeChat" pour infecter des appareils avec des logiciels espions. Ce logiciel malveillant vise à voler des informations sensibles sur les téléphones, notamment les journaux d'appels, les messages texte et les emplacements GPS.

Le logiciel espion Android est soupçonné d'être une variante du tristement célèbre logiciel malveillant "Coverlm", connu pour ses capacités de vol de données à partir de diverses applications de communication. Les applications ciblées incluent des plates-formes populaires telles que Telegram, Signal, WhatsApp, Viber et Facebook Messenger.

Le groupe indien de piratage APT connu sous le nom de «Bahamut » serait à l'origine de cette campagne. Ils ont été identifiés comme les auteurs responsables des récentes attaques, principalement à l'aide de messages de harponnage diffusés via WhatsApp. Ces messages transportent des charges utiles menaçantes, qui sont directement transmises aux appareils des victimes. Les principales cibles de cette campagne Bahamut sont les utilisateurs situés en Asie du Sud.

Le logiciel malveillant SafeChat se fait passer pour une application de messagerie légitime

Une tactique courante utilisée par les attaquants consiste à essayer de persuader les victimes d'installer une application de chat, affirmant qu'elle leur fournira une plate-forme de communication plus sécurisée. Selon les experts de l'infosec, le logiciel espion déguisé en Safe Chat utilise une interface utilisateur trompeuse qui imite une véritable application de chat. De plus, il guide la victime à travers ce qui semble être un processus d'enregistrement d'utilisateur légitime, ajoutant de la crédibilité et agissant comme une couverture parfaite pour les activités malveillantes du logiciel espion.

Une étape cruciale du processus d'infection consiste à obtenir des autorisations importantes, telles que la possibilité d'utiliser les services d'accessibilité. Ces autorisations sont ensuite utilisées à mauvais escient pour accorder automatiquement au logiciel espion un accès supplémentaire aux données sensibles. Plus précisément, le logiciel espion accède à la liste de contacts de la victime, aux messages SMS, aux journaux d'appels, au stockage de l'appareil externe et peut récupérer des données de localisation GPS précises à partir de l'appareil compromis.

De plus, des extraits du fichier Android Manifest révèlent que l'acteur de la menace derrière le logiciel espion l'a conçu pour interagir avec d'autres applications de chat déjà installées. L'interaction se produit via l'utilisation d'intentions, et l'autorisation OPEN_DOCUMENT_TREE permet au logiciel espion de sélectionner des répertoires spécifiques et d'accéder aux applications mentionnées dans l'intention.

Pour exfiltrer les données collectées à partir de l'appareil infecté, le logiciel espion utilise un module d'exfiltration de données dédié. Les informations sont ensuite transférées au serveur de commande et de contrôle (C2) de l'attaquant via le port 2053. Pour garantir la confidentialité des informations exfiltrées pendant la transmission, le logiciel espion utilise un cryptage facilité par un autre module qui prend en charge RSA, ECB et OAEPPadding. De plus, les attaquants utilisent un certificat "lets encrypt" pour échapper à toute tentative d'interception de données réseau à leur encontre.

Connexions à d'autres groupes de cybercriminalité

Dans la campagne d'attaque SafeChat, plusieurs tactiques, techniques et procédures (TTP) ont été identifiées, qui présentent une ressemblance frappante avec un autre groupe de menaces parrainé par l'État indien connu sous le nom de « DoNot APT » (APT-C-35). Notamment, "DoNot APT" a déjà été impliqué dans l'infiltration de Google Play avec de fausses applications de chat qui fonctionnent comme des logiciels espions. Les similitudes entre les deux groupes de pirates incluent l'utilisation de la même autorité de certification, des méthodologies de vol de données similaires, une portée de ciblage partagée et l'utilisation d'applications Android pour infecter leurs cibles.

Ces parallèles observés suggèrent fortement un chevauchement potentiel ou une étroite collaboration entre les deux groupes de menaces. De plus, la similitude des techniques de vol de données et l'objectif de ciblage partagé peuvent indiquer un objectif ou un but commun dans leurs attaques.

Le fait que les deux groupes aient utilisé des applications Android comme moyen d'infiltration renforce encore la notion de collaboration possible ou de partage des connaissances. Il est crucial de prendre ces indications de collaboration au sérieux car elles signifient une augmentation potentielle de la sophistication et de la complexité des attaques lancées par ces groupes parrainés par l'État.