Nikczemna grupa cybernajemników wstrzykuje oprogramowanie szpiegujące do urządzeń z Androidem w celu kradzieży rozmów użytkowników, potwierdza nowe badanie ESET (otwiera się w nowej karcie).
Te ataki złośliwego oprogramowania są przeprowadzane za pośrednictwem fałszywych aplikacji Android VPN. Dowody sugerują, że hakerzy używali złośliwych wersji oprogramowania SecureVPN, SoftVPN i OpenVPN.
Grupa znana jako Bahamut ATP jest postrzegana jako usługa do wynajęcia, która zazwyczaj przeprowadza ataki za pośrednictwem wiadomości phishingowych i fałszywych aplikacji. Według wcześniejszych doniesień hakerzy atakują zarówno organizacje, jak i osoby prywatne na Bliskim Wschodzie i w Azji Południowej od 2016 roku.
Szacuje się, że rozpoczęła się w styczniu 2022 r., badacze ESET uważają, że kampania złośliwej grupy dystrybucyjnej VPN jest obecnie w toku.
Od e-maili phishingowych po fałszywe VPN
„Kampania wydaje się być wysoce ukierunkowana, ponieważ w naszych danych telemetrycznych nie widzimy żadnych przypadków” — powiedział Lukáš Štefanko, badacz firmy ESET, który odkrył złośliwe oprogramowanie.
„Ponadto aplikacja żąda klucza aktywacyjnego przed aktywacją funkcji VPN i oprogramowania szpiegującego. Klucz aktywacyjny i link do strony internetowej prawdopodobnie zostaną wysłane do docelowych użytkowników”.
Štefanko wyjaśnia, że po aktywacji aplikacji hakerzy Bahamut mogą zdalnie kontrolować oprogramowanie szpiegujące. Oznacza to, że są w stanie infiltrować i gromadzić mnóstwo wrażliwych danych użytkownika.
„Ekfiltracja danych odbywa się za pośrednictwem funkcji keyloggera złośliwego oprogramowania, która nadużywa usług ułatwień dostępu” – powiedział.
Niezależnie od tego, czy są to wiadomości SMS, dzienniki połączeń, lokalizacje urządzeń i wszelkie inne szczegóły, czy nawet zaszyfrowane aplikacje do przesyłania wiadomości, takie jak WhatsApp, Telegram lub Signal, ci cyberprzestępcy mogą szpiegować praktycznie wszystko, co znajdą na urządzeniach ofiar bez ich wiedzy.
Firma ESET zidentyfikowała co najmniej osiem wersji tych usług VPN zainfekowanych trojanami, co oznacza, że kampania jest dobrze prowadzona.
Należy zauważyć, że w żadnym przypadku złośliwe oprogramowanie nie było powiązane z legalną usługą i żadna z aplikacji zainfekowanych złośliwym oprogramowaniem nie była promowana w Google Play.
Jednak początkowy wektor dystrybucji jest nadal nieznany. Patrząc na to, jak normalnie działa Bahamut ATP, złośliwe łącze mogło zostać wysłane za pośrednictwem poczty elektronicznej, mediów społecznościowych lub SMS-a.
Co wiemy o Bahamucie APT?
Chociaż nadal nie jest jasne, kto za tym stoi, Bahamut ATP wydaje się być kolektywem najemnych hakerów, ponieważ ich ataki w rzeczywistości nie wynikają z żadnego konkretnego interesu politycznego.
Od 2016 roku Bahamut prowadzi liczne kampanie cyberszpiegowskie, głównie na Bliskim Wschodzie i w Azji Południowej.
Grupa dziennikarstwa śledczego Bellingcat jako pierwsza ujawniła swoje działania w 2017 r., opisując, w jaki sposób mocarstwa międzynarodowe i regionalne aktywnie zaangażowały się w takie operacje inwigilacyjne.
„Bahamut jest zatem godnym uwagi wizją przyszłości, w której nowoczesna komunikacja obniżyła bariery dla małych krajów w prowadzeniu skutecznej obserwacji narodowych dysydentów i ekspansji poza ich granice” – podsumował wówczas Bellingcat (otwiera się w nowej karcie).
Później grupa została przemianowana na Bahamut, na cześć gigantycznej ryby, która pływa w Morzu Arabskim, opisanej w Księdze Imaginacyjnych Istot Jorge Luisa Borgesa.
Niedawno inne badania ujawniły, w jaki sposób grupa Advanced Persistent Threat (APT) coraz częściej wybiera urządzenia mobilne jako główny cel.
Cyble, firma zajmująca się bezpieczeństwem cybernetycznym, po raz pierwszy zauważyła ten nowy trend w kwietniu (otwiera się w nowej karcie), zauważając, że grupa Bahamut „planuje atak na cel, przez jakiś czas zachowuje się dziko, pozwala, aby jego atak dotknął wiele osób i organizacji, a ostatecznie kradnie ich dane.
Również w tym przypadku badacze zwrócili uwagę na zdolność cyberprzestępców do stworzenia strony phishingowej, tak dobrze zaprojektowanej, aby oszukać ofiary i zdobyć ich zaufanie.
Jak potwierdził Lukáš Štefanko w przypadku incydentu z nieuczciwymi aplikacjami na Androida: „Kod spyware, a co za tym idzie jego funkcjonalność, są takie same jak w poprzednich kampaniach, w tym gromadzenie danych do eksfiltracji w bazie danych”. ’, taktyka rzadko spotykana w mobilnych aplikacjach cyberszpiegowskich.
