Les hackers utilisent une fausse application Android nommée ‘SafeChat’ pour infecter les appareils avec des logiciels espions qui volent les journaux d’appels, les messages et les emplacements GPS des téléphones. Le logiciel espion Android est soupçonné d’être une variante de “Coverlm”, qui vole les données des applications de communication telles que Telegram, Signal, WhatsApp, Viber et Facebook Messenger. Les chercheurs de CYFIRMA affirment que le groupe de hackers indien APT ‘Bahamut’ est derrière la campagne, avec leurs dernières attaques menées principalement par des messages de « spear phishing » sur WhatsApp qui envoient les données malveillantes directement à la victime.

Bien que CYFIRMA ne se penche pas sur les détails de l’aspect ingénierie sociale de l’attaque, il est fréquent que les victimes soient persuadées d’installer une application de chat sous prétexte de transférer la conversation vers une plate-forme plus sécurisée.

Les analystes rapportent que Safe Chat dispose d’une interface trompeuse qui le fait apparaître comme une véritable application de chat et emmène également la victime à travers un processus d’enregistrement d’utilisateur, apparemment légitime, qui ajoute de la crédibilité et sert d’excellente couverture pour le spyware.  Une étape critique de l’infection est l’acquisition d’autorisations pour utiliser les services d’accessibilité, qui sont ensuite amplifiés pour accorder automatiquement plus d’autorisations aux logiciels espions. Ces autorisations supplémentaires permettent au logiciel espion d’accéder à la liste de contacts de la victime, aux SMS, aux journaux d’appels, au stockage de l’appareil externe et de récupérer des données de localisation GPS précises à partir de l’appareil infecté.