Hackers χρησιμοποιούν μια ψεύτικη εφαρμογή Android με την ονομασία “SafeChat” για να μολύνουν συσκευές με κακόβουλο λογισμικό spyware. Αυτό το κακόβουλο λογισμικό κλέβει αρχεία καταγραφής κλήσεων, μηνύματα κειμένου και τοποθεσίες GPS από τα τηλέφωνα.
Δείτε επίσης: Signal: Οι χρήστες μπορούν να προσαρμόσουν τον τρόπο δημοσιεύσης των Stories
Υπάρχουν υποψίες ότι το κατασκοπευτικό λογισμικό που επηρεάζει συσκευές Android είναι μία παραλλαγή του “Coverlm“, το οποίο αποσπά δεδομένα από εφαρμογές επικοινωνίας όπως το Telegram, το Signal, το WhatsApp, το Viber και το Facebook Messenger.
Οι ερευνητές της CYFIRMA αναφέρουν ότι η ομάδα hacking με το όνομα “Bahamut” φέρεται ως η υπεύθυνη για την εκστρατεία, με τις πιο πρόσφατες επιθέσεις της να επικεντρώνονται κυρίως σε spear phishing μηνύματα στο WhatsApp, μέσω των οποίων αποστέλλονται κακόβουλα φορτία απευθείας στα θύματα.
Επιπλέον, οι αναλυτές της CYFIRMA επισημαίνουν αρκετές ομοιότητες με μια άλλη ομάδα απειλών που χρηματοδοτείται από το ινδικό κράτος, γνωστή ως “DoNot APT” (APT-C-35). Στο παρελθόν, η εν λόγω ομάδα έχει μολύνει το Google Play με ψεύτικες εφαρμογές συνομιλίας, οι οποίες λειτουργούν ως λογισμικό υποκλοπής.
Προς το τέλος του περασμένου έτους, η ESET ανέφερε ότι η ομάδα Bahamut χρησιμοποιούσε πλαστές εφαρμογές VPN για την πλατφόρμα Android, οι οποίες περιείχαν εκτεταμένες λειτουργίες παρακολούθησης. Στην πιο πρόσφατη εκστρατεία που παρατήρησε η CYFIRMA, η Bahamut στοχεύει άτομα στη Νότια Ασία.
Παρότι η CYFIRMA δεν επεκτείνεται σε λεπτομέρειες σχετικά με την επίθεση, είναι συνηθισμένο τα θύματα να πείθονται να εγκαταστήσουν μια εφαρμογή συνομιλίας, υπό το πρόσχημα της μετάβασης της συνομιλίας σε μια πιο ασφαλή πλατφόρμα. Οι αναλυτές αναφέρουν ότι το SafeChat διαθέτει μια παραπλανητική διεπαφή που το καθιστά ως μια εφαρμογή συνομιλίας που φαίνεται πραγματική. Επιπλέον, καθοδηγεί το θύμα σε μια φαινομενικά νόμιμη διαδικασία εγγραφής χρήστη, προσφέροντας αξιοπιστία και λειτουργώντας ως καλύτερη κάλυψη για το λογισμικό υποκλοπής.
Δείτε ακόμα: Πώς να κάνετε σίγαση κλήσεων από άγνωστους καλούντες στο WhatsApp
Ένα κρίσιμο βήμα για την πρόληψη της μόλυνσης είναι η απόκτηση αδειών για τη χρήση των Υπηρεσιών Προσβασιμότητας, οι οποίες χρησιμοποιούνται κατόπιν για την αυτόματη χορήγηση περισσότερων αδειών στο spyware. Αυτές οι επιπλέον άδειες επιτρέπουν σε κακόβουλο λογισμικό να αποκτήσει πρόσβαση στη λίστα επαφών, τα μηνύματα SMS, τα αρχεία καταγραφής κλήσεων, την εξωτερική αποθήκευση και να λαμβάνει ακριβείς πληροφορίες τοποθεσίας GPS από τη μολυσμένη συσκευή.
Επιπλέον, η ψεύτικη εφαρμογή SafeChat ζητά από τον χρήστη να επιτρέψει την εξαίρεση από το υποσύστημα βελτιστοποίησης μπαταρίας του Android. Αυτό το υποσύστημα τερματίζει τις διαδικασίες παρασκηνίου όταν ο χρήστης δεν ασχολείται ενεργά με την εφαρμογή.
Μια αποκλειστική μονάδα εξαγωγής δεδομένων μεταφέρει πληροφορίες από τη συσκευή στον διακομιστή C2 του εισβολέα μέσω της θύρας 2053. Ένας εξειδικευμένος μηχανισμός ανάκτησης δεδομένων μεταφέρει πληροφορίες από τη συσκευή στον διακομιστή C2 του εισβολέα, χρησιμοποιώντας τη θύρα 2053. Αυτή η διαδικασία εξασφαλίζει αποτελεσματικά τη μεταφορά των δεδομένων μεταξύ των δύο συσκευών.
Τα κλεμμένα δεδομένα κρυπτογραφούνται με χρήση μιας άλλης μονάδας που υποστηρίζει RSA, ECB και OAEPPadding. Αυτό εξασφαλίζει την ακεραιότητα των δεδομένων κατά την κρυπτογράφηση. Παράλληλα, οι εισβολείς χρησιμοποιούν επίσης ένα πιστοποιητικό “letsencrypt” για να αποφύγουν πιθανές προσπάθειες υποκλοπής δεδομένων του δικτύου προς το μέρος τους.
Η CYFIRMA καταλήγει στο συμπέρασμα ότι διαθέτει πολλά στοιχεία που συνδέουν τη Bahamut με την εργασία για λογαριασμό μιας συγκεκριμένης πολιτειακής κυβέρνησης στην Ινδία. Επιπλέον, η εφαρμογή της ίδιας αρχής έκδοσης πιστοποιητικών από την ομάδα DoNot APT, η χρήση παρόμοιων μεθοδολογιών κλοπής δεδομένων, η ευρεία εστίαση στους στόχους και η χρήση εφαρμογών Android για τη μόλυνση υποδηλώνουν συνεργασία ή στενή σχέση μεταξύ των δύο ομάδων.
Δείτε επίσης: Πώς να συνομιλήσετε στο WhatsApp χωρίς να αποθηκεύσετε τον αριθμό
Η επίθεση υπογραμμίζει τη σημασία της προσοχής κατά τη λήψη εφαρμογών και τη χορήγηση αδειών σε συσκευές Android. Συνιστάται στους χρήστες να κατεβάζουν εφαρμογές μόνο από επίσημα καταστήματα εφαρμογών και να επαληθεύουν τις άδειες εφαρμογών πριν παραχωρήσουν πρόσβαση σε ευαίσθητα δεδομένα. Η τακτική ενημέρωση συσκευών με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας είναι επίσης ζωτικής σημασίας για την πρόληψη τέτοιων επιθέσεων. Επιπλέον, η επαγρύπνηση και η επίγνωση πιθανών απόπειρων phishing και ύποπτων δραστηριοτήτων μπορεί να βοηθήσει τους χρήστες να προστατεύσουν τα δεδομένα και το απόρρητό τους από κακόβουλους παράγοντες.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/476775/safechat-pseftiki-efarmogi-klevei-dedomena-signal-whatsapp/&media=https://www.secnews.gr/wp-content/uploads/2023/07/Android-zero-day.jpg&description=Hackers χρησιμοποιούν μια ψεύτικη εφαρμογή Android με την ονομασία "SafeChat" για να μολύνουν συσκευές με κακόβουλο λογισμικό spyware.){kind=link}