Forscher von CYFIRMA stellen fest, dass eine indische APT-Gruppe namens Bahamut Ziele mit einer gefälschten Android-Chat-App infiziert, um vertrauliche Daten vom Gerät zu stehlen.
Die gefälschte Android-App wird als sicherer Messenger namens Safe Chat getarnt und verlangt bei der Installation umfangreiche Berechtigungen. Über eine gesicherte Pipeline überträgt die Malware-App die gestohlenen Daten an den C2 des Hackers. Forscher haben den Bedrohungsakteur mit einem anderen indischen APT in Verbindung gebracht, der über ähnliche TTPs verfügt.
Ein mit Malware verseuchter Messenger
Forscher bei CYFIRMA beschrieben eine neue Kampagne der Bahamut Team, das eine Malware-Variante von „“ bündelte, um vertrauliche Daten von Zielen in Südasien zu stehlen. Die Spyware-Malware saugt Anrufprotokolle, Texte und GPS-Standorte von den Zieltelefonen ab und exportiert sie sicher auf das C2 des Hackers.
Der Bedrohungsakteur beginnt zunächst eine Konversation mit dem Ziel über WhatsApp (obwohl nicht bekannt ist, wie er den Kontakt per Social Engineering herstellt) und fordert es auf, eine sichere Chat-App namens „Sicherer Chat„“ – gefälscht und enthält Malware.
Und wenn das Ziel die besagte App arglos installiert, wird es auf eine Registrierungsseite weitergeleitet, die zwar glaubwürdig ist, aber im Hintergrund die Spyware-Malware lädt. Sobald dies erledigt ist, Die App fordert einen umfassenden Satz von Zugriffsberechtigungen an, um indirekten Zugriff auf die Kontaktliste, SMS, Anrufprotokolle, den externen Gerätespeicher und den genauen GPS-Standort des Ziels zu erhalten.
Alle von diesen Punkten gestohlenen Daten werden über ein spezielles Datenexfiltrationsmodul über Port 2053 an das C2 des Hackers übertragen. Um einer Erkennung zu entgehen, werden die gestohlenen Daten außerdem mit einem weiteren Modul verschlüsselt, das RSA, ECB und OAEPPadding unterstützt. Gleichzeitig wird das Datenexfiltrationsportal durch Let’s Encrypt-Zertifikate gesichert, um ein Abfangen zu verhindern.
Forscher bringen die Bahamut-Gruppe mit der Regierung eines nicht genannten indischen Bundesstaates in Verbindung. Ihr Ursprung liegt in Indien, da ihre TTPs mit denen einer anderen, vom indischen Staat gesponserten Bedrohungsgruppe namens „DoNot APT“ (APT-C-35) übereinstimmen.
