- 13,853
- 20
- 8 Ноя 2022
Множество пользователей Signal и WhatsApp под угрозой из-за вредоносного Android-приложения.
Индийская хакерская группа Bahamut Для просмотра ссылки Войдиили Зарегистрируйся поддельное Android-приложение под названием SafeChat для распространения шпионского ПО. Вредоносная программа крадет журналы вызовов, текстовые сообщения и данные местоположения с мобильных устройств.
По данным исследователей CYFIRMA, шпионское ПО, предположительно, является вариацией "Coverlm". Программа также способна красть информацию из таких мессенджеров, как Telegram, Signal, WhatsApp, Viber и Facebook* Messenger.
Bahamut, прежде всего, использует фишинговые сообщения в WhatsApp для распространения вредоносных программ. При этом хакеры нацеливаются в основном на жителей Южной Азии.
Специалисты CYFIRMA также отмечают схожесть методов работы Bahamut с хакерской группой DoNot APT' (APT-C-35), которая известна заражением Google Play поддельными мессенджерами-шпионами.
Приложение 'SafeChat' обладает обманчивым интерфейсом, который создает впечатление настоящего мессенджера, а процесс регистрации пользователя кажется абсолютно легитимным. Это придаёт приложению достоверность и служит хорошим прикрытием для вредоносного ПО.
Один из критических шагов в процессе заражения - это получение разрешений на использование служб доступности, которые затем злоупотребляются для автоматического предоставления шпионскому ПО дополнительных разрешений.
Такие разрешения предоставляют шпионскому ПО доступ к списку контактов, СМС, журналам вызовов, внешнему устройству хранения, а также данным местоположения.
Приложение также просит пользователя отключить функцию оптимизации батареи, которая прекращает работу фоновых процессов, когда пользователь не взаимодействует с приложением.
Украденные данные передаются с устройства на сервер злоумышленников через порт 2053 и шифруются с использованием RSA, ECB и OAEPPadding. В то же время хакеры также используют сертификат "letsencrypt" для обхода любых попыток перехвата сетевых данных.
CYFIRMA отмечает, что есть достаточно оснований связать деятельность Bahamut с определенным государственным органом Индии. Кроме того, использование того же сертификата, что и у группы DoNot APT, а также схожие методики кражи данных и использование Android-приложений для заражения целей, указывают на возможное сотрудничество этих двух групп.
Индийская хакерская группа Bahamut Для просмотра ссылки Войди
По данным исследователей CYFIRMA, шпионское ПО, предположительно, является вариацией "Coverlm". Программа также способна красть информацию из таких мессенджеров, как Telegram, Signal, WhatsApp, Viber и Facebook* Messenger.
Bahamut, прежде всего, использует фишинговые сообщения в WhatsApp для распространения вредоносных программ. При этом хакеры нацеливаются в основном на жителей Южной Азии.
Специалисты CYFIRMA также отмечают схожесть методов работы Bahamut с хакерской группой DoNot APT' (APT-C-35), которая известна заражением Google Play поддельными мессенджерами-шпионами.
Приложение 'SafeChat' обладает обманчивым интерфейсом, который создает впечатление настоящего мессенджера, а процесс регистрации пользователя кажется абсолютно легитимным. Это придаёт приложению достоверность и служит хорошим прикрытием для вредоносного ПО.
Один из критических шагов в процессе заражения - это получение разрешений на использование служб доступности, которые затем злоупотребляются для автоматического предоставления шпионскому ПО дополнительных разрешений.
Такие разрешения предоставляют шпионскому ПО доступ к списку контактов, СМС, журналам вызовов, внешнему устройству хранения, а также данным местоположения.
Приложение также просит пользователя отключить функцию оптимизации батареи, которая прекращает работу фоновых процессов, когда пользователь не взаимодействует с приложением.
Украденные данные передаются с устройства на сервер злоумышленников через порт 2053 и шифруются с использованием RSA, ECB и OAEPPadding. В то же время хакеры также используют сертификат "letsencrypt" для обхода любых попыток перехвата сетевых данных.
CYFIRMA отмечает, что есть достаточно оснований связать деятельность Bahamut с определенным государственным органом Индии. Кроме того, использование того же сертификата, что и у группы DoNot APT, а также схожие методики кражи данных и использование Android-приложений для заражения целей, указывают на возможное сотрудничество этих двух групп.
- Источник новости
- www.securitylab.ru
