Un recente articolo pubblicato da Cyfirma ha rivelato la scoperta di una pericolosa minaccia presente nelle app di messaggistica istantanea, chiamata “Safe Chat”. Questa app è stata identificata come uno spyware per Android utilizzato da un gruppo di cyber-criminali noto come Bahamut. L’obiettivo di Bahamut è quello di infettare i dispositivi mobili degli utenti e rubare dati da piattaforme come WhatsApp, Telegram, Signal e Facebook Messenger.
Safe Chat presenta funzionalità simili a quelle di Coverlm ed è collegato a una serie di app VPN fasulle precedentemente individuate da ESET. Queste app VPN sono state utilizzate in passato da alcuni gruppi di cybercriminali indiani per scopi simili. Non è ancora chiaro come avvenga l’installazione di Safe Chat sui dispositivi delle vittime, ma si sospetta che possa essere stata utilizzata una “trappola social” per convincere gli utenti ad installare un’app di messaggistica ritenuta più sicura.
Una volta avviata, Safe Chat richiede vari permessi per operare in background. Dopo la registrazione, l’app richiede l’accesso ai servizi di accessibilità, consentendo a Safe Chat di ottenere tutte le autorizzazioni necessarie per operare autonomamente. In questo modo, l’app ha accesso ai contatti, alla posizione geografica, allo storage esterno, agli SMS e alla cronologia delle chiamate dei dispositivi infettati. Inoltre, un modulo all’interno dell’app permette l’accesso alle altre app di messaggistica installate, inclusi WhatsApp, Telegram, Signal e Facebook Messenger.
Tutti i dati sensibili sottratti vengono inviati a un server C2 (command and control) in forma cifrata per proteggere le comunicazioni tra l’app e i cybercriminali. Durante questa fase di trasferimento dei dati, viene sfruttato un certificato rilasciato da Let’s Encrypt per evitare l’intercettazione del traffico.
Una scoperta sorprendente è stata la somiglianza delle tecniche utilizzate da Bahamut con quelle di un altro gruppo di cybercriminali noto come DoNot. Entrambi i gruppi sembrano avere un target geografico simile, concentrato in Asia e Medio Oriente, suggerendo una possibile collaborazione tra di loro. Inoltre, secondo Cyfirma, Bahamut sembra agire per conto del governo indiano.
Questa nuova minaccia solleva ulteriori preoccupazioni sulla sicurezza delle comunicazioni online e sottolinea l’importanza di essere cauti nell’installare applicazioni di provenienza sconosciuta o non verificate. È fondamentale prestare attenzione ai permessi e alle autorizzazioni richieste dalle app e documentarsi in anticipo. Nonostante le azioni delle autorità e delle aziende di sicurezza informatica per affrontare e prevenire tali minacce digitali, la prima barriera contro il cybercrimine resta sempre la consapevolezza degli utenti.
Grazie a un’app fasulla sono stati rubati dati sensibili da Telgram e Whatsapp
Il gruppo di cyber-criminali Bahamut utilizza un’app di messaggistica istantanea chiamata “Safe Chat” per infettare dispositivi mobili e rubare dati da piattaforme come WhatsApp e Facebook Messenger. L’installazione di Safe Chat sui dispositivi delle vittime rimane un mistero, ma si sospetta che venga utilizzata una “trappola social” per convincere gli utenti ad adottare l’app. Una volta installata, l’app richiede vari permessi, inclusa la capacità di operare in background, e può accedere a contatti, posizione geografica, storage esterno, SMS e cronologia delle chiamate. I dati sottratti vengono inviati a un server C2 in forma cifrata. Il gruppo Bahamut sembra avere una stretta collaborazione con un altro gruppo di cybercriminali chiamato DoNot, entrambi con un target geografico simile in Asia e Medio Oriente. La scoperta solleva preoccupazioni sulla sicurezza delle comunicazioni online e sottolinea l’importanza di prestare attenzione all’installazione di applicazioni non verificate e di evitare di fornire autorizzazioni senza informarsi precedentemente. La consapevolezza dell’utenza è la prima linea di difesa contro il cybercrimine.
