Индийская хакерская группа Bahamut использует поддельное Android-приложение под названием SafeChat для распространения шпионского ПО. Вредоносная программа крадет журналы вызовов, текстовые сообщения и данные местоположения с мобильных устройств.
По данным исследователей CYFIRMA, шпионское ПО, предположительно, является вариацией “Coverlm”. Программа также способна красть информацию из таких мессенджеров, как Telegram, Signal, WhatsApp, Viber и Facebook* Messenger.
Bahamut, прежде всего, использует фишинговые сообщения в WhatsApp для распространения вредоносных программ. При этом хакеры нацеливаются в основном на жителей Южной Азии.
Специалисты CYFIRMA также отмечают схожесть методов работы Bahamut с хакерской группой DoNot APT’ (APT-C-35), которая известна заражением Google Play поддельными мессенджерами-шпионами.
Приложение ‘SafeChat’ обладает обманчивым интерфейсом, который создает впечатление настоящего мессенджера, а процесс регистрации пользователя кажется абсолютно легитимным. Это придаёт приложению достоверность и служит хорошим прикрытием для вредоносного ПО.
Один из критических шагов в процессе заражения – это получение разрешений на использование служб доступности, которые затем злоупотребляются для автоматического предоставления шпионскому ПО дополнительных разрешений.
Такие разрешения предоставляют шпионскому ПО доступ к списку контактов, СМС, журналам вызовов, внешнему устройству хранения, а также данным местоположения.
Приложение также просит пользователя отключить функцию оптимизации батареи, которая прекращает работу фоновых процессов, когда пользователь не взаимодействует с приложением.
Украденные данные передаются с устройства на сервер злоумышленников через порт 2053 и шифруются с использованием RSA, ECB и OAEPPadding. В то же время хакеры также используют сертификат “letsencrypt” для обхода любых попыток перехвата сетевых данных.
CYFIRMA отмечает, что есть достаточно оснований связать деятельность Bahamut с определенным государственным органом Индии. Кроме того, использование того же сертификата, что и у группы DoNot APT, а также схожие методики кражи данных и использование Android-приложений для заражения целей, указывают на возможное сотрудничество этих двух групп.