اكتشف باحثون في شركة أمنية أن القراصنة يستخدمون تطبيق Android مزيفًا يسمى SafeChat لإصابة الأجهزة ببرامج ضارة تسرق سجلات المكالمات والرسائل النصية ومواقع GPS من الهواتف المحمولة.
برنامج التجسس المشتبه به في Android هو أحد أنواع Coverlm التي تسرق البيانات من تطبيقات الاتصال مثل Telegram و Signal و WhatsApp و Viber و Facebook Messenger.
قال باحثو CYFIRMA إن مجموعة Bahamut الهندية من APT كانت وراء الحملة، وأن الهجمات الأخيرة نُفِّذت بشكل أساسي من خلال رسائل البريد الإلكتروني التصيدية على WhatsApp التي ترسل حمولات ضارة مباشرة إلى الضحايا.
يشير باحثو شركة الأمن أيضًا إلى العديد من أوجه التشابه في التكتيكات والتقنيات والعمليات مع مجموعة تهديد أخرى تمولها الهند، DoNot APT أو APT-C-35. سبق أن اخترقت DoNot APT أو APT-C-35 متجر Google Play من خلال تطبيق دردشة مزيف يعمل كبرامج تجسس.
في أواخر العام الماضي، أفادت شركة ESET لأمن المعلومات أن Bahamut Group كانت تستخدم تطبيق Android VPN مزيفًا مع وظائف برامج تجسس واسعة النطاق.
وفي أحدث حملة رصدتها CYFIRMA، وجدت الشركة أن مجموعة القرصنة تستهدف أفرادًا في جنوب آسيا.
ومع أن CYFIRMA لم تتعمق في تفاصيل جانب الهندسة الاجتماعية للهجوم، فمن الشائع إقناع الضحايا بتثبيت تطبيق دردشة بحجة نقل المحادثة إلى منصة أكثر أمانًا.
وأفاد المحللون أن SafeChat يتميز بواجهة خادعة تجعله يبدو وكأنه تطبيق دردشة حقيقي وهو أيضًا يأخذ الضحية من خلال عملية تسجيل مستخدم تبدو مشروعة تضيف نوعًا من المصداقية، وتعمل كغطاء ممتاز لبرامج التجسس.
تتمثل إحدى الخطوات الرئيسية في إصابة الضحية في الحصول على إذن لاستخدام خدمات إمكانية الوصول. يتم استخدام هذا الإذن لاحقًا لمنح برامج التجسس مزيدًا من الأذونات تلقائيًا.
تسمح هذه الأذونات الإضافية لبرامج التجسس بالوصول إلى قائمة جهات اتصال الضحية، ورسائل SMS، وسجلات المكالمات، والتخزين الخارجي، واسترداد بيانات موقع GPS الدقيقة من الجهاز المصاب.
