In een verrassende onthulling cyberbeveiligingsonderzoekers van CYFIRMA hebben een kwaadaardige Android-app ontdekt met de naam ‘Veilig chatten’ die door hackers is gebruikt om te infiltreren en te stelen gevoelige data van gebruikers van populaire communicatieplatforms zoals Signaal En WhatsAppen. Vermoedelijk gekoppeld aan de Indiase APT-hackgroep ‘Bahamut’ deze spyware vormt een ernstige bedreiging voor personen in Zuid Azie.
In dit artikel zullen we licht werpen op de modus operatie van deze geavanceerde cyberspionagecampagne, terwijl ook de gevaren aan nietsvermoedende gebruikers.
Details van de aanval
De ‘Safe Chat’-app dient als de Trojaanse paard, gebruikers uitnodigen onder het mom van een beveiligd chatplatform. Door sluwe social engineering-technieken worden slachtoffers ertoe verleid te geloven dat ze overstappen op een veiliger communicatiemiddel. De app is ontworpen met een misleidende interface, die lijkt op de uiterlijk van een legitieme chattoepassing, en leidt gebruikers zelfs door een ogenschijnlijk authentiek registratieproces, wat een vals gevoel van geloofwaardigheid wekt.
Verkrijgen van machtigingen op diep niveau
Een cruciale stap in de aanval is het verkrijgen van machtigingen om te gebruiken Toegankelijkheidsdiensten op het apparaat van het slachtoffer. Eenmaal verkregen, worden deze machtigingen misbruikt de spyware automatisch uitgebreide toegang verlenen tot gevoelige gegevens, inclusief de contactenlijst, sms-berichten, oproeplogboeken, opslag van externe apparaten, En nauwkeurige GPS-locatie informatie.
Om zijn bedoelingen verder te verhullen, communiceert de kwaadaardige app met andere communicatietoepassingen al op het apparaat geïnstalleerd. Door specifieke intenties en machtigingen te gebruiken, kan ‘Safe Chat’ toegang krijgen tot gegevens van platforms zoals Telegram, Signaal, WhatsApp, Viber, En Facebook messenger. Deze strategische integratie stelt de spyware in staat om onopgemerkt blijven terwijl ze stilletjes informatie stelen van nietsvermoedende gebruikers.
Data-exfiltratie en ontwijkingstechnieken
Een toegewijde data-exfiltratie module vergemakkelijkt de overdracht van gestolen informatie van het geïnfecteerde apparaat naar de bevel van de aanvaller En controle (C2) server via poort 2053. De gestolen gegevens worden versleuteld met behulp van geavanceerde algoritmen, waaronder RSA, ECB, En OAEPAdding, die een extra beveiligingslaag bieden voor de hackers. Verder gebruiken de aanvallers een “letsencrypt” certificaat om onderscheppingspogingen te omzeilen, waardoor het buitengewoon uitdagend voor beveiligingssystemen om het exfiltratieproces te detecteren en te stoppen.
Bahamut: door de staat gesponsorde hackgroep?
De onderzoekers van CYFIRMA beweren te hebben vergaard overtuigend bewijs dat de ‘Bahamut’-groep in verband brengt met activiteiten die verband houden met een specifieke deelstaatregering in India. Met name deelt de groep opvallende overeenkomsten met de ‘DoNot APT’ (APT-C-35) dreigingsgroep, vermoedelijk ook door de staat gesponsord. De gedeelde certificeringsinstantie, methodologieën voor het stelen van gegevens, En gericht bereik ze wijzen allemaal op een mogelijke samenwerking of overlap tussen de twee groepen.
Vorige maand werd een internationale cyberaanval ook gezien als een door de staat gesponsorde aanval toen Chinese hackers de Amerikaanse overheid binnendrongen met behulp van een Microsoft-cloudbug.
De opkomst van ‘Veilig chatten’ als een hulpmiddel voor onderstrepingstekens van gegevensdiefstal de toenemende complexiteit van cyberspionage campagnes. Aangezien hackers social engineering-tactieken en geavanceerde ontwijkingstechnieken blijven gebruiken, is het absoluut noodzakelijk dat gebruikers dit doen Wees voorzichtig en installeer alleen apps van vertrouwde bronnen. Waakzaamheid en de goedkeuring van robuuste cyberbeveiligingsmaatregelen zijn essentieel om persoonsgegevens te beschermen en te voorkomen dat u het slachtoffer wordt van dergelijke verraderlijke aanvallen. Publieke bewustwording, samenwerking tussen veiligheidsonderzoekers, En snelle actie door technologiebedrijven vitaal blijven in de voortdurende strijd tegen cyberdreigingen.
Uitgelichte afbeelding tegoed: Joan Gamell/Unsplash
Source: Hackers gebruiken de valse Android-chatapp ‘Safe Chat’ om Signal- en WhatsApp-gegevens te stelen