Los piratas informáticos están utilizando una aplicación de Android falsa llamada 'SafeChat' para infectar dispositivos con malware que roba registros de llamadas, mensajes de texto y ubicaciones de GPS de los teléfonos.
Se sospecha que el spyware de Android es una variante de "Coverlm", que roba datos de aplicaciones de comunicación como Telegram, Signal, WhatsApp, Viber y Facebook Messenger.
Los investigadores de CYFIRMA dicen que el grupo indio de piratería APT 'Bahamut' está detrás de la campaña, con sus últimos ataques realizados principalmente a través de mensajes de phishing en WhatsApp que envían las cargas maliciosas directamente a la víctima.
Además, los analistas de CYFIRMA destacan varias similitudes de TTP con otro grupo de amenazas patrocinado por el estado indio, el 'DoNot APT' (APT-C-35), que anteriormente infestó Google Play con aplicaciones de chat falsas que actúan como spyware.
A fines del año pasado, ESET informó que el grupo Bahamut estaba usando aplicaciones VPN falsas para la plataforma Android que incluían amplias funciones de spyware.
Detalles de "Safe Chat"
Si bien CYFIRMA no profundiza en los detalles del aspecto de ingeniería social del ataque, es común que se persuada a las víctimas para que instalen una aplicación de chat con el pretexto de cambiar la conversación a una plataforma más segura.
Los analistas informan que Safe Chat presenta una interfaz engañosa que hace que parezca una aplicación de chat real y también lleva a la víctima a través de un proceso de registro de usuario aparentemente legítimo que agrega credibilidad y sirve como una excelente tapadera para el spyware.
Un paso crítico en la infección es la adquisición de permisos para usar los Servicios de Accesibilidad, que posteriormente se abusan para otorgar automáticamente más permisos al spyware.
Estos permisos adicionales permiten que el spyware acceda a la lista de contactos de la víctima, SMS, registros de llamadas, almacenamiento de dispositivos externos y obtenga datos de ubicación GPS precisos del dispositivo infectado.
La aplicación también solicita al usuario que apruebe la exclusión del subsistema de optimización de la batería de Android, que finaliza los procesos en segundo plano cuando el usuario no está interactuando activamente con la aplicación.
"Otro fragmento del archivo de manifiesto de Android muestra que el actor de amenazas diseñó la aplicación para interactuar con otras aplicaciones de chat ya instaladas", explica CYFIRMA .
"La interacción se llevará a cabo mediante intenciones, el permiso OPEN_DOCUMENT_TREE seleccionará directorios específicos y accederá a las aplicaciones mencionadas en la intención".
Un módulo de exfiltración de datos dedicado transfiere información desde el dispositivo al servidor C2 del atacante a través del puerto 2053.
Los datos robados se cifran mediante otro módulo compatible con RSA, ECB y OAEPPadding. Al mismo tiempo, los atacantes también usan un certificado "letsencrypt" para evadir cualquier intento de interceptación de datos de la red en su contra.
CYFIRMA concluye el informe diciendo que tiene pruebas suficientes para vincular a Bahamut con el trabajo en nombre de un gobierno estatal específico en la India.
Además, el uso de la misma autoridad de certificación que el grupo DoNot APT, metodologías similares de robo de datos, alcance de orientación común y el uso de aplicaciones de Android para infectar objetivos indican una superposición o una estrecha colaboración entre los dos grupos.
