Хакеры распространяют поддельное приложения под названием SafeChat для Android-устройств, используя его для заражения устройств вредоносным шпионским программным обеспечением. Этот вредонос крадет журналы вызовов, SMS-сообщения и геолокационную информацию с телефонов жертв, сообщает издание Bleeping Computer.
Аналитики компании по кибербезопасности CYFIRMA предполагают, что это шпионское программное обеспечение для Android представлено в виде разновидности вредоносного ПО, известного как Coverlm, которое крадёт пользовательские данные из популярных приложений обмена сообщениями: Telegram, Signal, WhatsApp, Viber и др.
Исследователи CYFIRMA полагают, что за этими атаками стоит группа хакеров Bahamut из Индии. Сами кибератаки осуществляются за счет распространения целевых фишинговых сообщений в мессенджере WhatsApp, содержащих вредоносные файлы.
Эксперты по информационной безопасности CYFIRMA также указывают на сходство тактик, техник и процедур группы Bahamut с другой хакерской APT-группой DoNot APT, предположительно спонсируемой индийским правительством. Эта группа ранее занималась распространением поддельных чат-приложений в Google Play Store, действующих как шпионское ПО.
Кроме того, стоит напомнить, что в конце 2022 года словацкая компания ESET, специализирующаяся на информационной безопасности, заявила, что группа Bahamut использует поддельные VPN-приложения для Android, обладающие обширным шпионским функционалом.
Поддельное приложение SafeChat имеет простой, но обманчивый интерфейс, который имитирует реальные приложения для обмена сообщениями. В этом вредоносном приложении пользователям предлагается пройти, казалось бы, нормальный процесс регистрации, что повышает доверие к продукту и служит отличным прикрытием для распространения вредоносного ПО.
Одним из ключевых этапов заражения устройства является получение приложением разрешений на использование служб специальных возможностей, которые в дальнейшем применяются для автоматического предоставления шпионскому ПО дополнительных разрешений.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
