O grupo de espionagem cibernética conhecido como Bahamut está sendo apontado como responsável por uma campanha altamente direcionada que infecta usuários de dispositivos Android com aplicativos falsos de VPN. Os aplicativos foram projetados para extrair informações confidenciais das vítimas.
A atividade está ativa desde o início deste ano e, envolve a distribuição de aplicativos VPN desonestos por meio de um site SecureVPN falso criado para esse fim. As informações são da empresa eslovaca de segurança cibernética ESET em um novo relatório compartilhado com o The Hacker News.
VPN falsas
Pelo menos oito variantes diferentes dos aplicativos de spyware foram descobertas até o momento, sendo versões trojanizadas de aplicativos VPN legítimos, como SoftVPN e OpenVPN.
Os aplicativos adulterados e suas atualizações são enviados aos usuários por meio do site fraudulento. Suspeita-se também que os alvos sejam cuidadosamente selecionados, já que o lançamento do aplicativo exige que a vítima insira uma chave de ativação para habilitar os recursos. Isso implica o uso de um vetor de distribuição indeterminado, embora evidências anteriores mostrem que ele pode assumir a forma de e-mails de spear phishing, mensagens SMS ou mensagens diretas em aplicativos de mídia social.
Além disso, o mecanismo de chave de ativação também foi projetado para se comunicar com um servidor controlado por ator, evitando efetivamente que o malware seja acionado acidentalmente logo após o lançamento em um dispositivo de usuário não direcionado.
Bahamut em ataques ao Android
Bahamut foi desmascarado em 2017 pela Bellingcat como uma operação de hacker de aluguel visando funcionários do governo, grupos de direitos humanos e outras entidades de destaque no sul da Ásia e no Oriente Médio com aplicativos Android e iOS maliciosos para espionar suas vítimas, lembra o The Hacker News.
No início deste ano, a Cyble detalhou dois conjuntos de ataques de phishing orquestrados pelo grupo para enviar aplicativos Android falsificados disfarçados de aplicativos de bate-papo. Já a onda mais recente segue uma trajetória semelhante, induzindo os usuários a instalar aplicativos VPN aparentemente inócuos que podem extrair uma ampla gama de informações, incluindo arquivos, listas de contatos, SMS, gravações de chamadas telefônicas, locais e mensagens do WhatsApp, Facebook Messenger, Signal, Viber, Telegram e WeChat.
Como sinal de que a campanha está bem mantida, o agente da ameaça inicialmente empacotou o código malicioso no aplicativo SoftVPN, antes de passar para o OpenVPN, uma mudança explicada pelo fato de que o aplicativo SoftVPN real parou de funcionar e não foi mais possível estabelecer um Conexão VPN.