Malware móvil SafeChat
Se ha descubierto que los piratas informáticos emplean una aplicación engañosa de Android llamada 'SafeChat' para infectar dispositivos con malware spyware. Este software malicioso tiene como objetivo robar información confidencial de los teléfonos, incluidos registros de llamadas, mensajes de texto y ubicaciones de GPS.
Se sospecha que el spyware de Android es una variante del infame malware 'Coverlm', conocido por sus capacidades de robo de datos de varias aplicaciones de comunicación. Las aplicaciones específicas incluyen plataformas populares como Telegram, Signal, WhatsApp, Viber y Facebook Messenger.
Se cree que el grupo indio de piratería APT conocido como 'Bahamut ' está detrás de esta campaña. Han sido identificados como los perpetradores responsables de los ataques recientes, principalmente mediante mensajes de phishing distribuidos a través de WhatsApp. Estos mensajes llevan cargas útiles amenazantes, que se envían directamente a los dispositivos de las víctimas. Los objetivos principales de esta campaña de Bahamut son los usuarios ubicados en el sur de Asia.
El malware SafeChat se disfraza como una aplicación de mensajería legítima
Una táctica común utilizada por los atacantes es tratar de persuadir a las víctimas para que instalen una aplicación de chat, alegando que les proporcionará una plataforma de comunicación más segura. Según los expertos en seguridad de la información, el spyware disfrazado de Safe Chat emplea una interfaz de usuario engañosa que imita una aplicación de chat genuina. Además, guía a la víctima a través de lo que parece ser un proceso de registro de usuario legítimo, agregando credibilidad y actuando como una tapadera perfecta para las actividades maliciosas del spyware.
Un paso crucial en el proceso de infección consiste en obtener permisos importantes, como la capacidad de utilizar los Servicios de accesibilidad. Luego, estos permisos se utilizan indebidamente para otorgar al spyware más acceso a datos confidenciales automáticamente. Más específicamente, el spyware obtiene acceso a la lista de contactos de la víctima, mensajes SMS, registros de llamadas, almacenamiento de dispositivos externos y puede recuperar datos de ubicación GPS precisos del dispositivo comprometido.
Además, los fragmentos del archivo de manifiesto de Android revelan que el actor de amenazas detrás del spyware lo diseñó para interactuar con otras aplicaciones de chat ya instaladas. La interacción se produce mediante el uso de intenciones, y el permiso OPEN_DOCUMENT_TREE permite que el spyware seleccione directorios específicos y acceda a las aplicaciones mencionadas en la intención.
Para exfiltrar los datos recopilados del dispositivo infectado, el spyware emplea un módulo de exfiltración de datos dedicado. Luego, la información se transfiere al servidor de comando y control (C2) del atacante a través del puerto 2053. Para garantizar la confidencialidad de la información extraída durante la transmisión, el spyware utiliza cifrado facilitado por otro módulo compatible con RSA, ECB y OAEPPadding. Además, los atacantes emplean un certificado "permite cifrar" para evadir cualquier intento de interceptación de datos de red realizados contra ellos.
Conexiones con otros grupos de ciberdelincuencia
En la campaña de ataque de SafeChat, se identificaron varias tácticas, técnicas y procedimientos (TTP), que tienen un parecido sorprendente con otro grupo de amenazas patrocinado por el estado indio conocido como 'DoNot APT' (APT-C-35). En particular, 'DoNot APT' ha estado involucrado anteriormente en la infiltración de Google Play con aplicaciones de chat falsas que funcionan como spyware. Las similitudes entre los dos grupos de piratas informáticos incluyen el uso de la misma autoridad de certificación, metodologías similares de robo de datos, un alcance de orientación compartido y la utilización de aplicaciones de Android para infectar a sus objetivos previstos.
Estos paralelismos observados sugieren fuertemente una superposición potencial o una estrecha colaboración entre los dos grupos de amenazas. Además, la similitud en las técnicas de robo de datos y el enfoque de objetivos compartidos pueden indicar un objetivo o propósito común en sus ataques.
El hecho de que ambos grupos hayan empleado aplicaciones de Android como medio de infiltración refuerza aún más la idea de una posible colaboración o intercambio de conocimientos. Es crucial tomar en serio estos indicios de colaboración, ya que significan un aumento potencial en la sofisticación y complejidad de los ataques lanzados por estos grupos patrocinados por el estado.
