セーフチャット モバイル マルウェア

ハッカーが「SafeChat」と呼ばれる不正な Android アプリケーションを使用してデバイスをスパイウェア マルウェアに感染させていることが発見されました。この悪意のあるソフトウェアは、通話記録、テキスト メッセージ、GPS 位置情報などの機密情報を携帯電話から盗むことを目的としています。

この Android スパイウェアは、さまざまな通信アプリからデータを盗む機能で知られる悪名高い「Coverlm」マルウェアの亜種であると疑われています。標的となるアプリケーションには、Telegram、Signal、WhatsApp、Viber、Facebook Messenger などの人気のあるプラットフォームが含まれます。

「バハムート」として知られるインドの APT ハッキング グループがこのキャンペーンの背後にあると考えられています。彼らは、主に WhatsApp 経由で配布されたスピア フィッシング メッセージを使用した最近の攻撃の実行者として特定されています。これらのメッセージには脅威となるペイロードが含まれており、被害者のデバイスに直接配信されます。このバハムート キャンペーンの主なターゲットは、南アジアに住むユーザーです。

SafeChat マルウェアは正規のメッセージング アプリケーションを装う

攻撃者が使用する一般的な戦術は、より安全な通信プラットフォームを提供すると主張して、被害者を説得してチャット アプリケーションをインストールさせようとすることです。情報セキュリティの専門家によると、Safe Chat を装ったスパイウェアは、本物のチャット アプリを模倣した欺瞞的なユーザー インターフェイスを採用しています。さらに、正規のユーザー登録プロセスと思われるプロセスを被害者に誘導し、信頼性を高め、スパイウェアの悪意のある活動を完全に隠す役割を果たします。

感染プロセスの重要なステップには、アクセシビリティ サービスを使用する機能などの重要な権限を取得することが含まれます。これらのアクセス許可は、スパイウェアに機密データへのさらなるアクセスを自動的に許可するために悪用されます。具体的には、スパイウェアは被害者の連絡先リスト、SMS メッセージ、通話記録、外部デバイスのストレージにアクセスし、侵害されたデバイスから正確な GPS 位置データを取得できます。

さらに、Android マニフェスト ファイルのスニペットから、スパイウェアの背後にいる攻撃者が、すでにインストールされている他のチャット アプリケーションと対話するようにスパイウェアを設計したことが明らかになりました。インタラクションはインテントの使用を通じて行われ、OPEN_DOCUMENT_TREE 権限により、スパイウェアは特定のディレクトリを選択し、インテントで言及されているアプリにアクセスできます。

感染したデバイスから収集したデータを抽出するために、スパイウェアは専用のデータ抽出モジュールを使用します。その後、情報はポート 2053 を介して攻撃者のコマンド アンド コントロール (C2) サーバーに転送されます。送信中の流出した情報の機密性を確保するために、スパイウェアは RSA、ECB、および OAEPPadding をサポートする別のモジュールによって促進される暗号化を利用します。さらに、攻撃者は、「lets encrypt」証明書を使用して、ネットワーク データの傍受の試みを回避します。

他のサイバー犯罪グループとのつながり

SafeChat 攻撃キャンペーンでは、「DoNot APT」（APT-C-35）として知られる別のインド国家支援の脅威グループと驚くほど類似した、いくつかの戦術、技術、手順 (TTP) が特定されています。特に、「DoNot APT」は以前、スパイウェアとして機能する偽のチャット アプリによる Google Play への侵入に関与していました。 2 つのハッカー グループの類似点には、同じ認証局の使用、同様のデータ窃取手法、共通の対象範囲、目的のターゲットに感染するための Android アプリの利用などが含まれます。

これらの観察された類似点は、2 つの脅威グループ間の潜在的な重複または緊密な連携を強く示唆しています。さらに、データ窃取手法の類似性とターゲットの共通点は、攻撃における共通の目標または目的を示している可能性があります。

両方のグループが侵入手段として Android アプリを使用しているという事実は、協力または知識共有の可能性の概念をさらに強化します。これらの協力の兆候は、これらの国家支援グループによって開始される攻撃の高度化と複雑さが増大する可能性を示しているため、真剣に受け止めることが重要です。