O grupo de hacker indiano Bahamut, está usando um aplicativo falso para Android chamado “SafeChat” para infectar dispositivos com malware espião que rouba registros de chamadas, mensagens de texto e localizações GPS dos telefones.

O spyware para Android é suspeito de ser uma variante do “Coverlm”, que rouba dados de aplicativos de comunicação como Telegram, Signal, WhatsApp, Viber e Facebook Messenger.

O “Safe Chat” possui uma interface enganosa que o faz parecer um aplicativo de chat real e também leva a vítima através de um processo de registro de usuário aparentemente legítimo que adiciona credibilidade e serve como uma excelente cobertura para o spyware.

Um passo crítico na infecção é a aquisição de permissões para usar os Serviços de Acessibilidade, que são posteriormente abusados para conceder automaticamente mais permissões ao spyware.

O aplicativo também solicita ao usuário a aprovação para exclusão do subsistema de otimização de bateria do Android, que encerra processos em segundo plano quando o usuário não está interagindo ativamente com o aplicativo.