Eksperci ostrzegają przed kolejnym przypadkiem złośliwego systemu na Androida pod przykrywką podejrzanej aplikacji, tym razem rozprzestrzeniającej się w krajach Azji Południowej.
Według firmy zajmującej się cyberbezpieczeństwem Cyfirma, “fałszywa aplikacja do czatowania”, która nosi nazwę Safe Chat na urządzeniach ofiar, ma wyższy poziom uprawnień w porównaniu z innym podobnym przypadkiem złośliwego oprogramowania, do którego została porównana.
Po przeanalizowaniu złośliwego systemu Cyfirma odkryła, iż najnowszy atak jest kolejnym przeprowadzonym przez indyjską grupę hakerską APT Bahamut.
Po dostarczeniu za pośrednictwem WhatsApp i zainstalowaniu, aplikacja Safe Chat wyświetla serię wyskakujących wiadomości, w tym jedną z prośbą o zezwolenie ofierze na aktywność w tle i zignorowanie optymalizacji baterii, co z kolei zapewnia atakującemu ciągły dostęp do zainfekowanego urządzenia.
Drugie wyskakujące okienko prosi o pozwolenie na dostęp do funkcji urządzenia, a tym samym do informacji, takich jak naciśnięcia klawiszy. Inne informacje, do których aktor może uzyskać dostęp, obejmują dokładną lokalizację ofiary, kontakty, przechowywanie plików, wiadomości SMS i dzienniki połączeń.
Podejrzewa się, iż oprogramowanie szpiegujące jest wariantem Coverlm, który wcześniej był postrzegany jako ukierunkowany na dane z aplikacji takich jak WhatsApp, Signal i Telegram. Badacze zauważyli również podobieństwo w taktyce stosowanej zarówno w tej kampanii, jak i innej przez APT DoNot, z których obie były ukierunkowane na tę samą lokalizację geograficzną i koncentrowały się na szpiegostwie.
Cyfirma twierdzi, iż biorąc pod uwagę jej ustalenia, jej “analiza zdecydowanie wskazuje, iż grupa APT stojąca za atakiem ma powiązania z terytorium Indii i działa w interesie rządu jednego z państw”.
Kiedy Cyfirma poprosiła Google o więcej informacji na temat poprzedniego ataku DoNot, rzecznik firmy potwierdził, iż złośliwe aplikacje zostały usunięte ze Sklepu Play.
Powiedziano im również, iż “Google Play Protect chroni użytkowników przed aplikacjami, o których wiadomo, iż zawierają to złośliwe oprogramowanie na urządzeniach z Androidem z Usługami Google Play, choćby jeżeli te aplikacje pochodzą z innych źródeł”.