Cez WhatsApp sa šíri falošná četovacia aplikácia SafeChat: Môže sa zákerný malvér dostať aj ku nám?
Bezpečnostní experti postrehli šírenie nového malvéru, ktorý sa vydáva za zabezpečenú aplikáciu SafeChat.
Bezpečnostní experti z CYFIRMA nedávno pozorovali pokročilú formu Android malvéru, ktorý sa vydával za četovaciu aplikáciu. Za útokom s najväčšou pravdepodobnosťou stojí hackerská skupina APT Bahamut, no objavili sa aj stopy po taktikách používaných skupinou DoNot APT.
Nový malvér obsahuje niekoľko charakteristických znakov už objavených malvérov, ktoré sa šírili cez Obchod Play v minulosti. V prípade novej hrozby však škodlivý softvér získava viac citlivých povolení a tým pádom je aj väčšou hrozbou pre súkromie obetí. Pôvodne bol malvér známy ako Coverlm a šíril sa prostredníctvom aplikácie WhatsApp. Škodlivý softvér sa vydáva za falošnú četovaciu aplikáciu s názvom „SafeChat“.
„Podozrivý malvér pre Android je fiktívna chatovacia aplikácia.“, hovoria experti na bezpečnosť.
Užívateľské rozhranie tejto aplikácie dokáže obete malvéru presvedčiť, že ide o legitímnu aplikáciu. Kyberzločinci tak získavajú dostatok času na to, aby stihli získať prístup ku všetkým potrebným údajom. Keď si obeť uvedomí, že aplikácia je v skutočnosti falošná, väčšinou už je neskoro. Malvér dokáže šikovným spôsobom zneužiť Android vývojárske knižnice, aby posielal dáta na C&C server.
Ako prebieha útok?
Útok začína inštaláciou falošnej aplikácie SafeChat. Po otvorení aplikácie sa obetiam zobrazí obrazovka, ktorej úlohou má podľa popisu byť „vytvorenie zabezpečeného pripojenia“. Po prvotnom načítaní sa obeť dostáva na prihlasovaciu obrazovku, no ešte predtým si aplikácia vypýta potrebné povolenia. Toto povolenie dovolí aplikácii fungovať na pozadí aj keď ju obeť minimalizuje alebo zatvorí, útočník však dostáva možnosť s aplikáciou nepretržite komunikovať. Druhým povolením je ignorovanie nastavení optimalizácie batérie.
Aplikácia následne dovolí obeti registráciu. Po vytvorení účtu sa dostáva priamo do aplikácie, kde na ňu vyskočia ďalšie povolenia. Tentokrát si žiada povolenia prístupnosti. Akonáhle obeť toto povolenie schváli, potom malvér dokáže zaznamenávať všetku aktivitu na obrazovke vrátane stlačenia kláves. Ak by obeť toto povolenie nepotvrdila, vyskakovacie okno sa bude objavovať dovtedy, kým ho nepotvrdí.
Neprehliadnite
Po potvrdení aplikácia „funguje ako má“. Úvodzovky sme použili preto, lebo SafeChat sa len naoko javí ako funkčná četovacia aplikácia. Nájdete tu kolónku so správami, skupinami, ale aj nastavenia profilu a všetko ostatné, čo by mala četovacia aplikácia spĺňať. Hoci si cez ňu s nikým nepokecáte, malvér získava prístup k vašej polohe, kontaktom, úložisku, SMS správam, histórii hovorov a kontaktom.
Útočníci momentálne cielia na užívateľov v oblasti južnej Ázie, no to neznamená, že nemôžu cieliť aj neskôr cieliť aj na používateľov v ďalších regiónoch. Malvér šíria prostredníctvom hromadných správ cez platformu WhatsApp. Za malvérom môže stáť hackerská skupina APT Bahamut, ktorá sa už v minulosti venovala hackerským kampaniam vedeným z politických motívov. Najnovšia kampaň vykazuje podobné znaky. Hlbší výskum naznačuje, že hackerská skupina môže operovať v rámci indického teritória.
Komentáre