Les pirates utilisent une fausse application Android nommée « SafeChat » pour infecter les appareils avec des logiciels espions malveillants qui volent les journaux d’appels, les SMS et les emplacements GPS des téléphones.

Le logiciel espion Android est soupçonné d’être une variante de « Coverlm », qui vole des données d’applications de communication telles que Telegram, Signal, WhatsApp, Viber et Facebook Messenger.

Les chercheurs de CYFIRMA affirment que le groupe indien de piratage APT « Bahamut » est à l’origine de la campagne, avec leurs dernières attaques menées principalement par le biais de messages de harponnage sur WhatsApp qui envoient les charges utiles malveillantes directement à la victime.

En outre, les analystes de CYFIRMA mettent en évidence plusieurs similitudes TTP avec un autre groupe de menaces parrainé par l’État indien, le « DoNot APT » (APT-C-35), qui a déjà infesté Google Play avec de fausses applications de chat agissant comme des logiciels espions.

À la fin de l’année dernière, ESET a signalé que le groupe Bahamut utilisait de fausses applications VPN pour la plate-forme Android qui incluaient de nombreuses fonctions de logiciels espions.

Dans la dernière campagne observée par CYFIRMA, Bahamut cible des individus en Asie du Sud.

Détails « Chat sécurisé »
Bien que CYFIRMA ne se penche pas sur les spécificités de l’aspect d’ingénierie sociale de l’attaque, il est courant que les victimes soient persuadées d’installer une application de chat sous prétexte de faire passer la conversation vers une plateforme plus sécurisée.

Les analystes rapportent que Safe Chat présente une interface trompeuse qui la fait apparaître comme une véritable application de chat et guide également la victime à travers un processus d’enregistrement d’utilisateur apparemment légitime qui ajoute de la crédibilité et sert d’excellente couverture pour le logiciel espion.

Écran d’inscription de Safe Chat

Une étape critique de l’infection est l’acquisition des autorisations d’utilisation des services d’accessibilité, qui sont ensuite utilisées de manière abusive pour accorder automatiquement plus d’autorisations au logiciel espion.

Ces autorisations supplémentaires permettent au logiciel espion d’accéder à la liste de contacts de la victime, aux SMS, aux journaux d’appels, au stockage de l’appareil externe et de récupérer des données de localisation GPS précises à partir de l’appareil infecté.

Toutes les autorisations incluses dans le fichier manifeste du logiciel espion

L’application demande également à l’utilisateur d’approuver l’exclusion du sous-système d’optimisation de la batterie d’Android, qui met fin aux processus d’arrière-plan lorsque l’utilisateur n’interagit pas activement avec l’application.

« Un autre extrait du fichier Android Manifest montre que l’auteur de la menace a conçu l’application pour interagir avec d’autres applications de chat déjà installées », explique CYFIRMA.

« L’interaction aura lieu à l’aide d’intentions, l’autorisation OPEN_DOCUMENT_TREE sélectionnera des répertoires spécifiques et accédera aux applications mentionnées dans l’intention. »

Module qui surveille les autres applications de chat sur l’appareil

Un module d’exfiltration de données dédié transfère les informations de l’appareil au serveur C2 de l’attaquant via le port 2053.

Les données volées sont chiffrées à l’aide d’un autre module prenant en charge RSA, ECB et OAEPPadding. Dans le même temps, les attaquants utilisent également un certificat « letsencrypt » pour échapper à toute tentative d’interception de données réseau contre eux.

CYFIRMA conclut le rapport en disant qu’il contient suffisamment de preuves pour lier Bahamut à travailler pour le compte d’un gouvernement d’État spécifique en Inde.

De plus, l’utilisation de la même autorité de certification que le groupe DoNot APT, des méthodologies de vol de données similaires, une portée de ciblage commune et l’utilisation d’applications Android pour infecter des cibles indiquent tous un chevauchement ou une collaboration étroite entre les deux groupes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *