Ciberseguridad 360 | Hackers roban datos de usuarios de Signal y WhatsApp mediante una app de chat falsa para Android.

Los Hackers est�n utilizando una aplicaci�n falsa de Android llamada "SafeChat" para infectar los dispositivos con malware esp�a que roba registros de llamadas, mensajes de texto y ubicaciones GPS de los tel�fonos.

Se sospecha que el software esp�a para Android es una variante de "Coverlm", que roba datos de aplicaciones de comunicaci�n como Telegram, Signal, WhatsApp, Viber y Facebook Messenger.

Los investigadores de CYFIRMA dicen que el grupo indio de Hacking APT 'Bahamut' est� detr�s de la campa�a, con sus �ltimos ataques realizados principalmente a trav�s de mensajes de phishing en WhatsApp que env�an las cargas maliciosas directamente a la v�ctima.

Adem�s, los analistas de CYFIRMA destacan varias similitudes de la TTP con otro grupo de amenazas patrocinado por el estado indio, la 'DoNot APT' (APT-C-35), que ya ha infestado Google Play con aplicaciones de chat falsas que act�an como spyware.

A finales del a�o pasado, ESET inform� de que el grupo Bahamut estaba utilizando aplicaciones VPN falsas para la plataforma Android que inclu�an amplias funciones de spyware.

En la �ltima campa�a observada por CYFIRMA, Bahamut se dirige a personas del sur de Asia.

"Detalles del "chat seguro

Aunque CYFIRMA no profundiza en los detalles de la ingenier�a social del ataque, es habitual convencer a las v�ctimas para que instalen una aplicaci�n de chat con el pretexto de trasladar la conversaci�n a una plataforma m�s segura.

Los analistas informan de que Safe Chat cuenta con una interfaz enga�osa que hace que parezca una aplicaci�n de chat real y tambi�n lleva a la v�ctima a trav�s de un proceso de registro de usuario aparentemente leg�timo que a�ade credibilidad y sirve como una excelente tapadera para el spyware.

Un paso cr�tico en la infecci�n es la adquisici�n de permisos para utilizar los Servicios de Accesibilidad, de los que posteriormente se abusa para conceder autom�ticamente m�s permisos al spyware.

Estos permisos adicionales permiten al spyware acceder a la lista de contactos de la v�ctima, SMS, registros de llamadas, almacenamiento externo del dispositivo y obtener datos precisos de localizaci�n GPS del dispositivo infectado.

La aplicaci�n tambi�n solicita al usuario que apruebe la exclusi�n del subsistema de optimizaci�n de bater�a de Android, que finaliza los procesos en segundo plano cuando el usuario no est� interactuando activamente con la aplicaci�n.

"Otro fragmento del archivo Android Manifest muestra que el autor de la amenaza dise�� la aplicaci�n para interactuar con otras aplicaciones de chat ya instaladas", explica CYFIRMA.

"La interacci�n tendr� lugar utilizando intents, el permiso OPEN_DOCUMENT_TREE seleccionar� directorios espec�ficos y acceder� a las apps mencionadas en el intent".

Un m�dulo dedicado a la exfiltraci�n de datos transfiere informaci�n desde el dispositivo al servidor C2 del atacante a trav�s del puerto 2053.

Los datos robados se cifran mediante otro m�dulo compatible con RSA, ECB y OAEPPadding. Al mismo tiempo, los atacantes tambi�n utilizan un certificado "letsencrypt" para evadir cualquier esfuerzo de interceptaci�n de datos de red en su contra.

CYFIRMA concluye el informe afirmando que dispone de pruebas suficientes para vincular a Bahamut con el trabajo en nombre de un gobierno estatal concreto de la India.

Adem�s, el uso de la misma autoridad de certificaci�n que el grupo DoNot APT, las metodolog�as similares de robo de datos, el alcance com�n de los objetivos y el uso de aplicaciones de Android para infectar a los objetivos indican una superposici�n o una estrecha colaboraci�n entre los dos grupos.

Fuente: bleepingcomputer