🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND Huyện Phú Hoà, tỉnh Phú Yên đã đăng ký tín nhiệm. 🔥                    🔥 UBND huyện Mường Chà đã đăng ký tín nhiệm. 🔥                    🔥 Github đã đăng ký tín nhiệm. 🔥                   
Đăng ký ngay

Tin tặc đánh cắp dữ liệu người dùng Signal, WhatsApp bằng ứng dụng chat Android giả mạo

01/08/2023

Tin tặc đang sử dụng một ứng dụng Android giả mạo có tên 'SafeChat' để lây nhiễm phần mềm gián điệp độc hại nhằm đánh cắp thông tin nhật ký cuộc gọi, tin nhắn và vị trí GPS từ điện thoại.

Phần mềm gián điệp Android bị nghi ngờ là một biến thể của "Coverlm", được thiết kế để đánh cắp dữ liệu từ các ứng dụng liên lạc như Telegram, Signal, WhatsApp, Viber và Facebook Messenger.

Các nhà nghiên cứu của CYFIRMA cho biết nhóm APT Ấn Độ 'Bahamut' là nhóm hack đứng đằng sau chiến dịch này, với các cuộc tấn công gần đây nhất của họ được thực hiện chủ yếu thông qua các tin nhắn lừa đảo trực tuyến trên WhatsApp để gửi các tệp (payload) độc hại trực tiếp đến nạn nhân.

Ngoài ra, các nhà phân tích của CYFIRMA đã chỉ ra một số điểm tương đồng của nhóm với một nhóm đe dọa khác do nhà nước Ấn Độ hậu thuẫn, 'DoNot APT' (APT-C-35), nhóm này trước đây cũng đã lây nhiễm phần mềm gián điệp trên cửa hàng Google Play bằng các ứng dụng trò chuyện giả mạo.

Cuối năm ngoái, ESET đã báo cáo rằng Bahamut đang sử dụng các ứng dụng VPN Android giả mạo có chứa nhiều chức năng hỗ trợ hoạt động gián điệp mạng.

Trong chiến dịch mới nhất do CYFIRMA phát hiện, Bahamut đang nhắm mục tiêu vào các cá nhân ở Nam Á.

SafeChat

Trong các cuộc tấn công được phát hiện, nạn nhân thường bị lừa cài đặt ứng dụng trò chuyện với lý do chuyển cuộc trò chuyện sang một nền tảng an toàn hơn.

SafeChat có giao diện giống như một ứng dụng trò chuyện thực sự và nó cũng yêu cầu nạn nhân đăng ký tài khoản thông qua một quy trình có vẻ hợp pháp để tăng thêm độ tin cậy cho phần mềm gián điệp.

Một bước quan trọng trong quá trình lây nhiễm là giành được quyền sử dụng Dịch vụ trợ năng (Accessibility Services), sau đó lạm dụng nó để tự động cấp thêm quyền cho phần mềm gián điệp.

Các quyền bổ sung cho phép phần mềm gián điệp truy cập vào danh sách liên hệ, SMS, nhật ký cuộc gọi, bộ nhớ thiết bị bên ngoài và trích xuất dữ liệu vị trí GPS từ thiết bị bị nhiễm.

Ứng dụng cũng yêu cầu người dùng loại trừ nó khỏi hệ thống tối ưu hóa pin của Android, hệ thống này sẽ dừng các tiến trình chạy ngầm khi người dùng không tích cực tương tác với ứng dụng.

Dữ liệu bị đánh cắp sẽ được mã hóa và chuyển đến máy chủ do kẻ tấn công kiểm soát thông qua cổng (port) 2053. Dữ liệu được mã hóa bằng một mô-đun hỗ trợ RSA, ECB và OAEPPadding. Đồng thời, những kẻ tấn công còn sử dụng chứng chỉ "letsencrypt" để trốn tránh mọi nỗ lực chặn bắt dữ liệu mạng chống lại chúng.

CYFIRMA cho biết rằng họ có đủ bằng chứng để liên kết hoạt động của Bahamut với một chính quyền bang cụ thể ở Ấn Độ.

Ngoài ra, việc sử dụng cùng một cơ quan cấp chứng chỉ như nhóm DoNot APT, các phương pháp đánh cắp dữ liệu tương tự, phạm vi nhắm mục tiêu và việc sử dụng các ứng dụng Android giả mạo để lây nhiễm mã độc cho thấy sự tương đồng hoặc cộng tác chặt chẽ giữa hai nhóm.

Để giảm thiểu các nguy cơ bị lây nhiễm phần mềm độc hại, người dùng chỉ nên tải và cài đặt các phần mềm, ứng dụng từ những nguồn đáng tin cậy và kiểm tra cẩn thận các quyền mà ứng dụng yêu cầu có thực sự cần thiết để thực hiện chức năng của nó hay không, nếu phát hiện bất kỳ điểm đáng ngờ nào, tốt nhất, bạn không nên cài đặt nó.

Nguồn: bleepingcomputer.com.  

scrolltop