Gli esperti di Cyfirma hanno individuato un’app di messaggistica, denominata Safe Chat, che il gruppo Bahamut ha sfruttato per infettare i dispositivi mobile e rubare dati da WhatsApp, Telegram, Signal e Facebook Messenger. Si tratta di uno spyware Android con funzionalità simili a quelle di Coverlm. ESET aveva scoperto app VPN fasulle usate dai cybercriminali indiani per eseguire la stessa attività.
Safe Chat, app di messaggistica fasulla
Non è noto come Safe Chat viene installata sui dispositivi delle vittime. Probabilmente è stata usata una tecnica di ingegneria sociale per convincere gli utenti ad utilizzare un’app di messaggistica “più sicura”. Al primo avvio vengono chiesti diversi permessi, tra cui quello per mantenere l’esecuzione dell’app in background. Dopo il completamento della registrazione viene chiesto l’uso dei servizi di accessibilità che consentono di ottenere qualsiasi permesso.
L’app fasulla può accedere a contatti, posizione geografica, storage esterno, SMS e cronologia delle chiamate. Un modulo permette di accedere alle altre app di messaggistica installate, tra cui WhatsApp, Telegram, Signal e Facebook Messenger. Tutti i dati rubati sono quindi inviati in forma cifrata al server C2 (command and control). I cybercriminali usano un certificato rilasciato da Let’s Encrypt per impedire l’intercettazione del traffico tra app e server.
Simili tecniche sono utilizzate dal gruppo DoNot. Anche il target geografico è simile (Asia e Medio Oriente), quindi è probabile una collaborazione stretta tra i due gruppi. Secondo gli esperti di Cyfirma, Bahamut opera per conto del governo indiano.