Индийская хакерская группа Bahamut атакует мессенджеры с помощью SafeChat

Индийская хакерская группа Bahamut использует поддельное Android-приложение под названием SafeChat для распространения шпионского ПО. Вредоносная программа крадет журналы вызовов, текстовые сообщения и данные местоположения с мобильных устройств.

По данным исследователей CYFIRMA, шпионское ПО, предположительно, является вариацией "Coverlm". Программа также способна красть информацию из таких мессенджеров, как Telegram, Signal, WhatsApp, Viber и Facebook* Messenger.

Bahamut, прежде всего, использует фишинговые сообщения в WhatsApp для распространения вредоносных программ. При этом хакеры нацеливаются в основном на жителей Южной Азии.

Специалисты CYFIRMA также отмечают схожесть методов работы Bahamut с хакерской группой DoNot APT' (APT-C-35), которая известна заражением Google Play поддельными мессенджерами-шпионами.

Приложение 'SafeChat' обладает обманчивым интерфейсом, который создает впечатление настоящего мессенджера, а процесс регистрации пользователя кажется абсолютно легитимным. Это придаёт приложению достоверность и служит хорошим прикрытием для вредоносного ПО.

Один из критических шагов в процессе заражения - это получение разрешений на использование служб доступности, которые затем злоупотребляются для автоматического предоставления шпионскому ПО дополнительных разрешений.

Такие разрешения предоставляют шпионскому ПО доступ к списку контактов, СМС, журналам вызовов, внешнему устройству хранения, а также данным местоположения.

Приложение также просит пользователя отключить функцию оптимизации батареи, которая прекращает работу фоновых процессов, когда пользователь не взаимодействует с приложением.

Украденные данные передаются с устройства на сервер злоумышленников через порт 2053 и шифруются с использованием RSA, ECB и OAEPPadding. В то же время хакеры также используют сертификат "letsencrypt" для обхода любых попыток перехвата сетевых данных.

CYFIRMA отмечает, что есть достаточно оснований связать деятельность Bahamut с определенным государственным органом Индии. Кроме того, использование того же сертификата, что и у группы DoNot APT, а также схожие методики кражи данных и использование Android-приложений для заражения целей, указывают на возможное сотрудничество этих двух групп.