I ricercatori di Cyfirma, società specializzata in soluzioni per la Cybersecurity, lanciano l’allarme riguardo ad un’applicazione malevola chiamata Safe Chat e destinata a sottrarre i dati personali degli utilizzatori da piattaforme molto utilizzate per la messaggistica istantanea come Telegram, Instagram, Facebook Messenger e Signal.
Questa nuova minaccia porta la firma della crew "Bahamut", ormai attiva nel CyberSpionaggio dal 2016, ed è in sostanza uno spyware pensato per infettare i dispositivi mobile. Il sistema operativo target è Android ma per il momento non sarebbero ancora disponibili dettagli tecnici su come l’applicazione riesce ad insediarsi sugli smartphone delle vittime.
Una delle ipotesi più accreditate fa riferimento a tecniche di social engineering con le quali gli attaccanti riuscirebbero a convincere gli utenti che Safe Chat rende più sicure le sessioni di messaggistica. Tra l’altro, per poter raggiungere il suo scopo l’applicazione ha bisogno dei permessi per l’esecuzione in background che devono essere forniti dall’utilizzatore.
I dati che vengono sottratti da Safe Chat sono di diverso tipo, come per esempio la cronologia delle chiamate, le informazioni relative alla geolocalizzazione del device, la lista dei contatti e i servizi di storage di terze parti utilizzati. Una volta raccolti essi vengono trasmessi verso un server remoto dopo essere stati sottoposti a cifratura.
La dinamica dell’attacco risulta essere abbastanza sofisticata. I componenti di Bahamut, che secondo alcuni esperti di sicurezza lavora anche per conto delle autorità indiane, utilizzano per esempio un certificato SSL (Secure Sockets Layer) rilasciato dalla CA (Certification Authority) Let’s Encrypt per evitare che le comunicazioni con i server vengano individuate.