SafeChat – adatlopással
A CYFIRMA kutatói azonosítottak egy kártékony Android-alkalmazást, amely olyan alkalmazásokból lop adatokat, mint a Telegram, a Signal, a WhatsApp, a Viber és a Facebook Messenger.
A CYFIRMA kutatói szerint az indiai Bahamut APT hackercsoport áll a kampány hátterében, és legutóbbi támadásaikat többnyire a WhatsApp-on küldött adathalász üzeneteken keresztül hajtották végre, amelyek a rosszindulatú telepítőfájlokat közvetlenül az áldozatnak küldik.
A CYFIRMA elemzői emellett számos TTP-hasonlóságot emelnek ki egy másik indiai állami támogatású csoporttal, a DoNot APT-vel (APT-C-35), amely korábban kémprogramként működő hamis csevegőalkalmazásokkal fertőzte meg a Google Playt.
Az áldozatokat ráveszik egy chat-alkalmazás telepítésére azzal az ürüggyel, hogy a beszélgetést biztonságosabb platformra helyezik át. Az elemzők jelentése szerint a Safe Chat egy megtévesztő felülettel rendelkezik, amely valódi chat-alkalmazásként jeleníti meg, és egy látszólag legitim felhasználói regisztrációs folyamaton is keresztülviszi az áldozatot, amely növeli a hitelességet, és kiváló fedezetként szolgál a kémprogramok számára.