驚くべき事実として、CYFIRMA のサイバーセキュリティ研究者は、次の名前の悪意のある Android アプリを発見しました。 「安全なチャット」 ハッカーが侵入して盗むために利用されてきました 機密データ Signal や WhatsApp などの人気のある通信プラットフォームのユーザーからのメッセージです。 との関連が疑われる インドのAPTハッキンググループ「バハムート」 このスパイウェアは個人に深刻な脅威をもたらします 南アジア。
この記事では、 手口オペランド この洗練されたサイバースパイ活動の実態を明らかにすると同時に、 もたらされる危険 何も知らないユーザーに。
攻撃の詳細
「セーフチャット」アプリは、 トロイの木馬、 安全なチャット プラットフォームを装ってユーザーを招待します。 巧妙なソーシャル エンジニアリング手法を通じて、被害者はより安全な通信手段に移行していると信じ込ませられます。 このアプリは、偽のインターフェイスで設計されており、 正規のチャット アプリケーションの外観、 さらには、一見本物のように見える登録プロセスをユーザーに案内して、誤った信頼性を植え付けます。
深いレベルの権限の取得
攻撃における重要なステップには、使用許可を取得することが含まれます。 アクセシビリティサービス 被害者のデバイス上で。 これらの権限を取得すると、次の目的で悪用されます。 スパイウェアに機密データへの拡張アクセスを自動的に許可します。 含んでいる 連絡先リスト、SMS メッセージ、通話記録、外部デバイスのストレージ、 と 正確なGPS位置 情報。
悪意のあるアプリは、その意図をさらに偽装するために、 その他の通信アプリケーション すでにデバイスにインストールされています。 特定のインテントと権限を使用することで、「セーフ チャット」は次のようなプラットフォームからデータにアクセスできます。 電報、シグナル、WhatsApp、Viber、 と フェイスブックメッセンジャー。 この戦略的統合により、スパイウェアは次のことが可能になります。 検出されないままになる 疑いを持たないユーザーから情報を黙って盗みながら。
データの引き出しと回避手法
専用の データ引き出しモジュール 感染したデバイスから盗まれた情報の転送を容易にします。 攻撃者の命令 と ポート 2053 を介して制御 (C2) サーバーに接続します。 盗まれたデータは、次のような高度なアルゴリズムを使用して暗号化されます。 RSA、ECB、 と OAEPパディング、 これにより、ハッカーに追加のセキュリティ層が提供されます。 さらに、攻撃者は 「letsencrypt」 証明書を使用して傍受の試みを回避し、 非常に挑戦的な セキュリティ システムが流出プロセスを検出して停止します。
バハムート: 国家支援のハッカー集団?
CYFIRMA の研究者は、 「バハムート」グループとインドの特定の州政府に関連する活動を結びつける有力な証拠。 注目すべきことに、このグループは次のような顕著な類似点を共有しています。 「APT を行わない」 (APT-C-35) 脅威グループとも考えられています 国の支援を受けています。 共有された 認証局、データ窃取手法、 と ターゲティング範囲 これらはすべて、2 つのグループ間の潜在的な協力または重複を示しています。
先月、中国のハッカーがマイクロソフトのクラウドのバグを利用して米国政府に侵入した際にも、国際的なサイバー攻撃が国家主導によるものとみなされている。
の出現 「安全なチャット」 データ盗難のツールとして サイバースパイ活動の巧妙化キャンペーン。 ハッカーがソーシャル エンジニアリング戦術や高度な回避技術を悪用し続ける中、ユーザーは次のことを行うことが不可欠です。 注意してください 信頼できるソースからのみアプリをインストールしてください。 警戒と 堅牢なサイバーセキュリティ対策 個人データを保護し、このような陰湿な攻撃の被害を防ぐためには不可欠です。 一般の人々への認識、セキュリティ研究者間の協力、 と テクノロジー企業による迅速な行動 サイバー脅威との継続的な戦いにおいては、引き続き重要な役割を果たします。
注目の画像クレジット: ジョーン・ガメル/アンスプラッシュ
Source: ハッカーは偽のAndroidチャットアプリ「Safe Chat」を使用してSignalとWhatsAppのデータを盗む
