ایتنا - هکرها با استفاده از یک اپلیکیشن اندرویدی جعلی به نام SafeChat، دستگاه کاربران را به جاسوس افزاری آلوده میکنند که اطلاعات تماس، پیامها و موقعیت جی پی اس گوشی آنها را به سرقت میبرد.
این جاسوس افزار اندرویدی احتمالا نوعی از بدافزار Coverlm است که دادهها را از اپلیکیشنهای ارتباطی مانند تلگرام، سیگنال، واتساپ، وایبر و فیسبوک مسنجر، به سرقت میبرد.
به گزارش ایتنا از ایسنا، محققان شرکت امنیتی CYFIRMA میگویند که گروه هک هندی "باهاموت"، در این کمپین دست دارد و جدیدترین حملاتش را با استفاده از پیامهای فیشینگ در واتساپ انجام داده که قطعه مخرب را مستقیما به دستگاه قربانی ارسال میکند.
شرکت امنیتی ESET سال گذشته گزارش کرده بود که گروه "باهاموت"، از اپلیکیشنهای جعلی وی پی ان برای پلتفرم اندروید استفاده میکند که قابلیتهای جاسوس افزار دارد. طبق مشاهدات شرکت CYFIRMA، در جدیدترین کمپین هک گروه "باهاموت"، کاربران در جنوب آسیا هدف قرار میگیرند.
اگرچه شرکت CYFIRMA به جزئیات شیوه مهندسی اجتماعی این گروه هکری اشاره نکرده است اما معمولا، با این بهانه که مکالمات به پلتفرم امنتری منتقل میشود، قربانیان متقاعد میشوند اپلیکیشنهای پیام رسان را نصب کنند.
بر اساس تجزیه و تحلیل انجام شده، اپلیکیشن SafeChat یک رابط کاربری گمراه کننده دارد تا به نظر برسد که یک اپلیکیشن چت واقعی است و کاربران را به انجام فرآیند ثبت مشخصات هدایت میکند تا معتبر به نظر برسد و پوشش خوبی برای جاسوس افزار خود فراهم کند.
یک گام مهم در فرآیند آلودگی، کسب مجوز برای استفاده از خدمات دسترس پذیری است که متعاقبا، از آن برای دادن مجوزهای خودکار بیشتر به جاسوس افزار سوءاستفاده میشود. مجوزهای بیشتر به جاسوس افزار اجازه می دهد به فهرست مخاطبان قربانی، پیامکها، اطلاعات تماس، دستگاه ذخیره سازی داده اکسترنال و تعین مکان دقیق دستگاه آلوده، دست پیدا کند.
بر اساس گزارش وب سایت بلیپینگ کامپیوتر، یک ماژول استخراج داده اختصاصی، اطلاعات را از دستگاه آلوده شده به سرور هکرها از طریق پورت ۲۰۵۳ ارسال میکند.