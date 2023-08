Cyfirma ha scoperto una pericolosa minaccia nelle app di messaggistica istantanea, denominata “Safe Chat”, la quale viene utilizzata da un gruppo di cyber-criminali, noto come Bahamut, per infettare i dispositivi mobili e rubare dati da piattaforme come WhatsApp, Telegram, Signal e Facebook Messenger.

Questo spyware per Android presenta funzionalità simili a quelle di Coverlm, e sembra essere collegato a una serie di app VPN fasulle, precedentemente individuate da ESET, utilizzate in passato da alcuni gruppi di cybercriminali indiani, per scopi analoghi.

Come avvenga l’installazione di Safe Chat sui dispositivi delle vittime rimane ancora un mistero ma si sospetta che possa essere stata adottata una “trappola social” pensata per convincere gli utenti ad adottare proprio un’app di messaggistica maggiormente sicura.

Al momento dell’avvio di Safe Chat, l’app richiede vari permessi, inclusa la capacità di operare in background. Dopodiché, una volta completata la registrazione, viene richiesto l’accesso ai servizi di accessibilità, permettendo a Safe Chat di ottenere tutte le autorizzazioni necessarie per operare in totale autonomia.

L’app è in grado, quindi, di accedere ai contatti, alla posizione geografica, allo storage esterno, agli SMS e alla cronologia delle chiamate dei dispositivi infettati. Inoltre, un modulo all’interno dell’app, permette l’accesso alle altre app di messaggistica installate, incluse WhatsApp, Telegram, Signal e Facebook Messenger.

Tutti i dati sensibili sottratti vengono, infine, inviati a un server C2 (command and control) in forma cifrata, proteggendo così le comunicazioni tra l’app e i cybercriminali. Durante questa procedura, inoltre, viene sfruttato un certificato rilasciato da Let’s Encrypt atto a evitare l’intercettazione del traffico durante questa fase di spostamento dei dati.

Una scoperta sorprendente è stata la somiglianza delle tecniche utilizzate da Bahamut con quelle di un altro gruppo di cybercriminali noto come DoNot. Entrambi i gruppi sembrano avere un target geografico simile, concentrato specificatamente in Asia e Medio Oriente, suggerendo la possibilità di una stretta collaborazione tra di loro. Inoltre, sempre secondo Cyfirma, Bahamut sembra operare, apparentemente, per conto del governo indiano.

Questa nuova minaccia solleva ulteriori preoccupazioni riguardo alla sicurezza delle comunicazioni online, alla cautela che si deve avere quando si installano applicazioni poco note, e non verificate e, soprattutto, all’evitare di fornire permessi, e autorizzazioni di sorta, senza prestare la dovuta attenzione e senza essersi documentati precedentemente a riguardo.

Per quanto le autorità, e le società di sicurezza informatica, devono rimanere vigili per affrontare, e prevenire, simili minacce digitali, la prima barriera verso il cybercrimine è sempre, e solo, in mano alla consapevolezza dell’utenza.