CYFIRMA-forskare noterar att en indisk APT-grupp som heter Bahamut infekterar mål med en falsk Android-chattapp – för att stjäla känslig data från enheten.
Den falska Android-appen kommer under förevändning av en säker budbärare som heter Safe Chat, som ber om omfattande behörigheter när den installeras. Och genom att använda en säker pipeline transporterar malware-appen den stulna datan till hackarens C2. Forskare kopplade hotaktören till en annan indisk APT som har liknande TTP.
En Messenger med skadlig programvara
Forskare vid CYFIRMA detaljerad en ny kampanj av Bahamut team som paketerade en malware-variant av “” för att stjäla känslig data från mål i södra Asien. Skadlig programvara för spionprogram suger samtalsloggar, textmeddelanden och GPS-platser från måltelefonerna och exporterar dem till hackarens C2 på ett säkert sätt.
Hotaktören börjar med att inleda en konversation med målet på WhatsApp (även om det är okänt hur de socialt konstruerar kontakten) och ber dem att installera en säker chattapp som heter “Säker chatt” – falsk och innehåller skadlig programvara.
Och när målet opertiskt installerar nämnda app, kommer de att tas till en registreringssida för att vara trovärdiga men laddar spionprogramvaran i bakgrunden. När det är gjort, appen ber om en omfattande uppsättning tillgänglighetsbehörigheter för att få indirekt tillgång till målets kontaktlista, SMS, samtalsloggar, extern enhetslagring och exakt GPS-plats.
All data som stjäls från dessa punkter överförs till hackarens C2 via en dedikerad dataexfiltreringsmodul via port 2053. För att undvika upptäckt krypteras den stulna informationen med en annan modul som stöder RSA, ECB och OAEPPadding. Samtidigt är dataexfiltreringsportalen säkrad genom Let’s Encrypt-certifikat för att undvika avlyssning.
Forskare kopplar Bahamut-gruppen till en icke namngiven delstatsregering i Indien. De har indiskt ursprung eftersom deras TTP:er är i linje med de från en annan indisk statssponsrad hotgrupp som kallas “DoNot APT” (APT-C-35).
