• 發布單位:TWCERT/CC
• 更新日期:2023-08-07
• 點閱次數:139

資安廠商 CYFIRMA 旗下的資安研究人員，近期發現有 APT 駭侵團體，利用假冒的 Android 即時通訊軟體來散布惡意軟體，以竊取受害者手機中的通話記錄、文字簡訊、GPS 定位資訊與其他多種即時通訊軟體的對話內容。

CYFIRMA 指出，涉及這波攻擊行動的印度 APT 駭侵團體稱為「Bahamut」，過去主要透過 WhatsApp 來進行魚叉式釣魚攻擊，直接把惡意軟體傳送給目標對象，以進行攻擊行動。另一家資安廠商 ESET 過去也曾發現 Bahamut 使用假冒的 Android 平台 VPN 軟體來進行大規模資安攻擊。

這次 CYFIRMA 發現 Bahamut 利用一個名為「SafeChat」的假冒 Android App，在其中植入一個名為「Coverlm」的惡意軟體，用以竊取 Telegram、Signal、WhatsApp、Viber、Facebook Messenger 等多種即時通訊軟體內的對話內容；主要的攻擊對象以南亞地區的 Android 手機用戶為主。

CYFIRMA 針對 SafeChat 的分析指出，一旦用戶誤信該軟體是真實的即時通訊軟體並且安裝後，SafeChat 會要求用戶授與輔助使用權限，以自動取得存取簡訊、通訊錄、通話記錄、GPS 資訊、外接儲存裝置等權限，並進行後續的惡意軟體酬載載入與安裝。

SafeChat 甚至會要求用戶同意存取手機的電池電力最佳化子系統，這是為了阻止系統在使用者很少使用該 App 時，自動中止該 App 的執行。

建議 Android 使用者除應避免自非 Google 官方管道下載安裝 App 外，如遇 App 要求輔助使用等權限，應立即拒絕並移除該軟體。