اكتشف باحثون في شركة “أمنية” أن متسللين استخدموا تطبيق Android مزيفًا يسمى SafeChat لإصابة الأجهزة ببرامج ضارة تسرق سجلات المكالمات والرسائل النصية ومواقع GPS من الهواتف.
برامج التجسس المشبوهة التي تعمل بنظام Android هي أحد أنواع Coverlm التي تسرق البيانات من تطبيقات الاتصال مثل Telegram و Signal و WhatsApp و Viber و Facebook Messenger.
يقول باحثو CYFIRMA إن مجموعة Bahamut الهندية من APT هي التي تقف وراء الحملة، وأن هجماتهم الأخيرة تقدم في الأساس حمولات ضارة مباشرة إلى الضحايا عبر رسائل التصيد الاحتيالي على WhatsApp.
سلط باحثو الشركة الأمنية الضوء أيضًا على العديد من أوجه التشابه في التكتيكات والتقنيات والإجراءات مع مجموعة تهديد أخرى مدعومة من الدولة الهندية ، DoNot APT (أو APT-C-35) ، والتي استخدمت سابقًا تطبيق Fake Chat App Hacks Google Play Store.وفي أواخر العام الماضي، ذكرت شركة أمن المعلومات (إسيت) ESET أن مجموعة Bahamut كانت تستخدم تطبيقات مزيفة للشبكات الافتراضية الخاصة VPN لنظام أندرويد تضمنت وظائف برامج تجسس واسعة النطاق.
وفي أحدث حملة رصدتها CYFIRMA، وجدت الشركة أن مجموعة القرصنة تستهدف أفرادًا في جنوب آسيا.
ومع أن CYFIRMA لم تتعمق في تفاصيل جانب الهندسة الاجتماعية للهجوم، فمن الشائع إقناع الضحايا بتثبيت تطبيق دردشة بحجة نقل المحادثة إلى منصة أكثر أمانًا.
أفاد المحللون أن SafeChat لديها واجهة خادعة تجعلها تبدو مثل تطبيق الدردشة الحقيقي، وأنها توجه الضحايا أيضًا من خلال عملية تسجيل المستخدم التي تبدو شرعية ، مما يضيف المصداقية ويمنح برامج التجسس غطاءًا ممتازًا.
تتمثل إحدى الخطوات الرئيسية في إصابة الضحية في الوصول إلى الخدمات الإضافية، والتي يتم إساءة استخدامها بعد ذلك لمنح برامج التجسس مزيدًا من الامتيازات تلقائيًا.
تسمح هذه الأذونات الإضافية لبرامج التجسس بالوصول إلى قائمة جهات اتصال الضحية ، والرسائل النصية، وسجلات المكالمات، والتخزين الخارجي، والحصول على بيانات موقع GPS دقيقة من الجهاز المصاب.
يطلب التطبيق أيضًا من المستخدمين الموافقة على استبعادهم من نظام تحسين البطارية في Android ، والذي يقتل العمليات في الخلفية عندما لا يتفاعل المستخدم بنشاط مع التطبيق.
في استنتاج التقرير ، قالت CYFIRMA إن الطلب يحتوي على أدلة كافية لربط مجموعة جزر الباهاموت بالأفعال نيابة عن حكومات ولايات معينة في الهند.
